XSS quiz 1~5解题方案

最新推荐文章于 2022-02-14 17:37:56 发布
最新推荐文章于 2022-02-14 17:37:56 发布
阅读量2.4k 收藏
点赞数
分类专栏: xss 文章标签: 编码 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CClarence/article/details/50278431
版权

第1题
第一题很简单,没做过滤,直接可A过
第二题
查询框中写123查看源码,
这里写图片描述
需要先闭合左边的input,所以“>即可
第三题
本题有过滤当输入“>时发现引号、尖括号都被过滤
这里写图片描述
<>” 分别变成了转义符,尝试Unicode编码也未见效:
<为\u003c,>为\u003e,”为\u0022
后来看到页面有一个复选框,想到框内元素可以进行注入,于是抓包,p2参数后加上“>可通过
这里写图片描述
第四题
跟第三题相似,也是有复选框,也是过滤了相同字符
这里写图片描述
同样,抓包,这回多抓了个参数,与方法二相同,新参数后加“>,通过。
这里写图片描述
这里写图片描述
第五题
本体是长度限制,只能输入15个字符,输入再多也写不进去,这是前端代码对长度的校验,那么只需修改前端代码对长度限制或者抓包修改请求就可以。
这里写图片描述
轻松通过。
这里写图片描述

CClarence
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS-level(1-13)解题思路
07-13
新手学习XSS的心得和感悟
xss打靶日志(1-5关)
PISES3_5的博客
06-28 340
xss20题挑战前5关
XSS quiz练习题做题过程及感悟
weixin_30340353的博客
11-29 564
XSS quiz 最近刚学XSS。所以新手理解如有错误不当,欢迎批评指正。 第1题 一开始做,使用了Chrome浏览器。第一题怎么都做不出来。突然想起来使用IE,打开IE11,才成功了。 <script>alert(document.domain);</script> 第2题 第二题,直接用这个不行。 查看源代码。 构造一个,把左边的&...
记录xss练习 level1-level5(一)
CN_DS的博客
11-28 1016
练习网址:http://test.xss.tv/ 本人菜鸟一枚,如有分析不对的地方,望前辈们指正。 话不投机....不对,话不多说直接上图,上分析。 level1:很简单的一道题,从URL中我们可以分析到,xxx/level1.php?name=test,有一个参数;然后在firebug或源码页面找到它所在的位置,发现只有一处,在<h1></h1>标签内,直接一‘脚’...
xss challenge挑战(1-5)较详细解答
imredboy的博客
02-14 3458
网上已经有很多关于xss挑战赛靶场的解题思路了,不过想想还是自己再写一篇好了,刚好为自己做个笔记 LEVEL 1 网上已经有很多关于xss挑战赛靶场的解题思路了,不过想想还是自己再写一篇好了,刚好为自己做个笔记 LEVEL 1  网上已经有很多关于xss挑战赛靶场的解题思路了,不过想想还是自己再写一篇好了,刚好为自己做个笔记 LEVEL 1 找xss漏洞和其他漏洞的方法一样,就是找输入接口,找到可以输入数据的地方,构建攻击字段达成攻击。 第一关中明显在url数据后get提交了参数 故构建xxxx/leva
xss_quiz
1ame的博客
08-30 828
练习地址:xss_quiz Stage #1 alert(document.domain) Stage #2 ">alert(document.domain) Stage #3 Stage #4 Stage #5 用firebug,删除 maxlength="15" text box中:">ale
Laravel5中防止XSS跨站攻击的方法
10-21
主要介绍了Laravel5中防止XSS跨站攻击的方法,结合实例形式分析了Laravel5基于Purifier扩展包集成HTMLPurifier防止XSS跨站攻击的相关操作技巧,需要的朋友可以参考下
百度内部通用XSS攻击解决方案探讨培训ppt
最新发布
03-20
百度内部通用XSS攻击解决方案探讨培训ppt 本资源为百度内部通用XSS攻击解决方案探讨培训ppt,主要介绍了百度内部通用XSS攻击解决方案的探讨培训内容。下面是从该资源中提取的知识点: 1. 问题现状:XSS攻击的数量...
DedeCMS 存储型xss漏洞1
08-03
【DedeCMS 存储型 XSS 漏洞1】详解 DedeCMS 是一款广泛使用的基于PHP的开源网站管理系统,其特色在于提供了一个简洁易用的后台管理界面,帮助企业或个人快速构建网站。然而,如同任何软件一样,DedeCMS 也存在安全...
edu 后台xss1
08-08
标题“edu 后台xss1”涉及到的是一个教育平台后台系统的XSS(跨站脚本)漏洞。XSS漏洞是网络安全中常见的一个问题,它允许攻击者在目标网站的页面上注入恶意脚本,进而影响到网站的正常用户。在这个案例中,攻击者...
XSS练习平台【XSS Challenges】通关秘籍
W小哥
03-02 2209
靶场介绍 靶场地址:http://xss-quiz.int21h.jp/ 相对于别的靶场来说,这是一个模拟真实环境的xss平台,页面不会给出任何提示 Stage #1 访问目标网站如下图所示 提示:注入以下JavaScript命令 “alert(document.domain)” 输入注入语句: 思路:最简单测试方法,没有任何过滤,注入语句在b标签内 Stage #2 注入语句:1">...
XSS quiz 11~16解题方案
CClarence的专栏
12-14 2382
第十一题 Hint: “s/script/xscript/ig;” and “s/on[a-z]+=/onxxx=/ig;” and “s/style=/stxxx=/ig;” 对关键字符串做了过滤 script变成了 “javascript:alert(document.domain)”变成了 ” onmousemove=”alert(document.domain)变成 看答案
xss-quiz challenge
0pt1mus
04-17 702
转自个人博客:0pt1mus 00 靶场地址 http://xss-quiz.int21h.jp/ 01 stage #1 题目要求执行script命令:alert(document.domain) F12查看源码 hidden部分不知道有啥用,但是表单POST提交的只有p1,随便写个内容上去,提交后如下。 提交内容被双引号包围"",在插入内容左右添加“进行闭合。 payload = '"<script>alter(document.domain);</script>"'
一些bat的xss实例4-5题
Stronger_99的博客
03-04 220
第四题 第四题链接 源码: 查看源码发现和第三题的源码是一样的,直接就试了一下上一个payload,果然不行。猜测是把运算符全都过滤掉了。并且会弹窗提示错误的输入: 重复第三题的步骤猜了一下参数,结果参数还是px: 解题的核心思想还是构造闭合,把多余的注释掉就可以了。这道题需要用到一个概念是模板字符串,模板字符串中间是可以包含换行的,这道题只需要用模板字符串将中间变为字符串解析,然后再进行一定的构造就可以了。 先写一个模板字符串 先用单引号闭合掉前面的单引号,分号隔开,再写入模板字符串,这样的话就可
xss-quiz.int21h.jp——Stage #10
王嘟嘟的博客
09-18 438
文章目录0x00 前言0x01 尝试0x02 过滤 0x00 前言 之前的Stage#9看了提示是UTF-7编码的,这道题我可能解决不了,因为没有IE7的环境,所以没有办法进行尝试。所以只好来搞Stage#10。 0x01 尝试 看到源码是标签,首先要尝试的就是对这个标签进行闭合。 使用"&gt;&lt;script&gt;alert(1);&lt;/script&gt;进行尝试。 发现成功产生了...
xss-quiz.int21h.jp——Stage #8
王嘟嘟的博客
09-18 399
文章目录0x00 前言0x01 尝试知识点补充0x02 解题 0x00 前言 昨天学了xss-quiz.int21h.jp——Stage #7,因为CSDN的限制,所以只能留在今天来学习了。 0x01 尝试 使用&amp;lt;script&amp;gt;alert(1);&amp;lt;/script&amp;gt;来进行尝试。 这里发现是一个a标签,并且会把输入的内容进行一个过滤然后显示出来。 知识点补充 关于a标签,有一...
XSS Challenges 练习(1-10)
dichiji8804的博客
05-28 461
这几天对XSS Challenges平台进行了练习,网上也有一些相应的解答博客,但是写得都差不多,我觉得可以试一下从怎么做这种题的角度出发去思考问题。 第一题:http://xss-quiz.int21h.jp/ 大概意思就是弹窗内容为(document.domain);就可以通关。直接使用<script>alert(document.domain);</scr...
XSS quiz 6~10解题方案
CClarence的专栏
12-13 2315
第六题 本题转义了尖括号。并且根据Hint:event handle attributes,意思就是像input标签里进行添加事件,于是尝试通过不用尖括号的方式写入xss语句。 先用\u003c和\u003e来代替<和>,失败。 用” onmousemove=”alert(document.domain) 成功。 第七题 Hint,Hint: nearly the same… but a
xss-quiz.int21h.jp——Stage #15
王嘟嘟的博客
09-19 520
0x00 前言 Stage 12 是IE浏览器 Stage 13 14 是同一个类型的也要求IE浏览器 我这里的环境有问题所以不能复现以下操作过程,所以没有进行记录。 0x01 尝试 使用&lt;script&gt;alert("1")&lt;/script&gt;进行尝试 然后进行源码的查看。 发现这里是一个script代码的显示的地方。所以我们要进行Script语言的操作。 这里使用时间响...
"百度高级安全工程师分享XSS解决方案ppt
百度内部通用XSS攻击解决方案探讨培训ppt 随着互联网的快速发展和普及,网络安全问题日益突出。由于网站和应用程序的设计漏洞,XSS(Cross-Site Scripting)攻击成为一种常见的网络安全威胁。为了应对XSS攻击,百度...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值