google-xss-game

最新推荐文章于 2024-03-19 19:21:15 发布
最新推荐文章于 2024-03-19 19:21:15 发布
阅读量234 收藏
点赞数
分类专栏: 安全学习 文章标签: web xss ctf 信息安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LYJ20010728/article/details/116460663
版权

题目链接
level1-未过滤的字符串输入
没有任何过滤,最基本的操作:<script>alert(1)</script>
level2-服务端存储漏洞
查看网页源码,我们在用户字段输入的文字被外部标签<blockquote>标签包裹,尝试level1中的操作,发现无法弹窗。在<script>标签无法触发的时候,尝试用另一个标记来触发javascript,考虑到数据是永久存储在对方服务器上的,所以可以这样输入:<img src="x" onerror="javascript:alert(1)"/>,成功触发弹窗
level3-隐藏的未过滤字段
查看网页的源码,发现图片的加载实际上是由window.location.hash决定的,它决定包括#号和它后面跟的东西。利用'><script>alert(1);</script>进行绕过(替换#后面跟的东西)
level4-就近原则绕过检查
首先分析网页主体元素,当在输入栏输入某个秒数后,观察url的变化。尝试alert弹窗,再次观看url地址栏的变化,地址栏直接输出了,但是奇怪的是下面的计时器脚本仍然被执行了,想到应该是设置了默认值。查看网页源码,看名识代码,这个函数和计时器息息相关。看到了确实有个默认值等于3秒,这就是之前直接alert弹窗失败的原因。尝试1');alert('1,成功触发弹窗
level5-逃脱过滤字符
发现< a href>标签,这种payload直接java伪协议,然后点击触发javascript:alert(1),成功触发弹窗
level6-针对动态JavaScript加载
利用data伪协议:data:text/plain,alert('xss')

H3rmesk1t
关注
专栏目录
5000美刀的谷歌XSS
Coisini的博客
06-23 275
亲爱的黑阔们: 最近我在找谷歌的一个叫做tagmanager的服务漏洞,这个服务被用作SEO运营。我主要研究的就是在找有木有可以插XSS的地方。但是所有的域都有过滤特殊字符的防护,各位可以从下面的图看出来。所以在这上面下功夫真的是脑洞不够…… 但是接下来我发现Tagmanager允许用户以JSON文件的形式上传一些的标签、宏、自定义数据等…… 接下来呢我就下载了个json模板文件并编辑了下它...
XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_xss靶场level
最新发布
2401_84297796的博客
04-26 743
作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者「专栏简介」: 此文章已录入专栏。
GoogleXSS游戏
积累,在于坚持
01-09 580
Level 1: Hello, world of XSS 好吧,这一关很简单,没什么可说的: alert(1); Level 2: Persistence is key 这一关可以用以下这几种不同的方式:  href="test" onclick="javascript:alert(1);">test 创建一个链接(需要与用户交互)  src="test.png" o
有趣的游戏:Google XSS Game
weixin_33896726的博客
07-18 110
Google最近出了一XSS游戏: https://xss-game.appspot.com/ 我这个菜鸟看提示,花了两三个小时才全过了。。 这个游戏的规则是仅仅要在攻击网页上弹出alert窗体就能够了。 题目页面是在iframe里嵌套的展现的。那么父窗体是怎样知道iframe里成功弹出了窗体? 是这样子实现的: 题目页面载入了这个js,改写了alert函数,当aler...
有意思的游戏:Google XSS Game
横云断岭的专栏
05-31 5422
Google最近出了一个XSS的游戏: https://xss-game.appspot.com/ 我这个菜鸟看提示,花了两三个小时才全过了。。 这个游戏的规则是只要在攻击网页上弹出alert窗口就可以了。 题目页面是在iframe里嵌套的展现的,那么父窗口是如何知道iframe里成功弹出了窗口? 是这样子实现的: 题目页面加载了这个js,改写了alert函数,当alert被调
前端安全-XSS
WLANQY的博客
02-07 312
XSSXSS 是 Cross-site scripting 的简称,为了与 CSS (层叠样式表)区分使用了 X。通俗来说就是跨站点脚本攻击,通过在客户端注入可执行脚本的方式来实现攻击。如果你对 XSS 没有直观的认识,我推荐你在 Google 的这个XSS game的网站体验一下,如何实现 XSS 攻击,有6个有趣的小游戏,需要你亲手试试看,网上也能找到对应的参考答案。在站点注入脚本之后,黑客就可以通过脚本做很多的“坏事”,例如:窃取Cookie信息、监听用户行为、修改DOM和在页面生成浮窗广告。
Emarhal-Game-Of-Teens:https
03-25
在Emarhal-Game-Of-Teens项目中,SCSS可能被用来组织和优化游戏界面的样式,使得前端界面更加美观且易于管理。 通常,一个游戏项目包含许多不同的组成部分,如游戏逻辑、用户界面、数据库交互、服务器架构、客户端...
Cohen-Game-Of-Chromes-Owning-The-Web-With-Zombie-Chrome-Extens
08-21
标题和描述中提到的“Cohen-Game-Of-Chromes-Owning-The-Web-With-Zombie-Chrome-Extens”以及“Owning the Web with Zombie Chrome Extensions”涉及了一系列关于恶意Chrome浏览器扩展(称为“僵尸扩展”)的研究,...
life-is-a-game-website:我所有的“人生就是游戏”项目的网站。 | 该代码不需要任何更改
03-13
10. **数据分析**:为了评估项目效果和用户行为,可能嵌入了Google Analytics或其他分析工具,收集用户数据进行分析和优化。 这个“人生就是游戏”网站可能是一个创新的尝试,将游戏化思维融入到日常生活中,帮助...
GoogleXSS游戏——WriteUp
地址ch3nye.top
11-01 361
Hi基友们,本文主要描述Google前些天发布的关于XSS漏洞游戏的玩法,地址在这里。 本文我会列举在网络中找到的一些有趣的方法,包含所有关卡。废话不多说,直接开始吧! Level 1: Hello, world of XSS 好吧,这一关很简单,没什么可说的: &lt;script&gt;alert(1);&lt;/script&gt; Level 2: Persistence is...
Google XSS Game Level 6 通关方式
bao
03-19 466
图中给到的一个错误信息就是解题关键,检查元素查看 这个iframe 后面是有一段js文件地址,但是这个js文件并不存在。大概意思是通过 XHR / URL 请求之类的方式插入一个 js 文件/脚本来弹出一个 alert。Github 为例:需要点击 Raw 之后 取地址栏的链接(这才是真正的文件地址)在自己的服务器 或者 Github 上面放一个 js 文件,脚本主要是弹出框。到这里,js加载完成就成功啦。当 url 改变之后才会刷新,有时候并不起作用。查看源代码,该链接还需要是 https 的。
XSS on Google Search -mutation XSS
qq_25899635的博客
06-11 277
2019.06.11   我们这些总有一死的人的命运多么奇特!我们每个人在这个世界上都只作一个短暂的逗留;目的何在,却无从知道,尽管有时自以为对此若有所感。                            -阿尔伯特•爱因斯坦 浏览器在解析HTML的时候显自然而然而又非常奇怪:   检查解析的HTML,即DOM树。第一个例子带有脚本的div的标签,浏览器通过添加结束脚本标...
XSS注入-没有过滤的XSS举例
qq_25899635的博客
05-29 683
探测XSS过程   1、构造一个独一无二且不会被识别为恶意代码的字符串用来提交到页面。   例如:123qweasdzxc   2、使用浏览器审查工具进行代码审查,寻找构造的字符串是否在页面中显示。 闭合文本标签利用XSS 1、简单Payload:<script>alert(document.domain);</script> 2、闭合标签Payload: xxx"&lt...
网络安全ctf比赛/学习资源整理,解题工具、比赛时间、解题思路、实战靶场、学习路线,推荐收藏!...
网络安全
03-27 9522
对于想学习或者参加CTF比赛的朋友来说,CTF工具、练习靶场必不可少,今天给大家分享自己收藏的CTF资源,希望能对各位有所帮助。CTF在线工具首先给大家推荐我自己常用的3个CTF在线工具网站,内容齐全,收藏备用。1、CTF在线工具箱:http://ctf.ssleye.com/ 包含CTF比赛中常用的编码、加解密、算法。2、CTF加解密工具箱:http://www.atoolbox.ne...
不是我说,只要你把这个游戏通关了,XSS漏洞你就搞清楚了
一个安全研究员
02-20 792
xss小游戏
XSS小游戏
迷风小白
06-08 5646
XSS小游戏源码:源码下载 LEVEL1 level1.php payload: http://127.0.0.1/xss/level1.php?name=< script>alert(1)</script> LEVEL2 level2.php 在输入框那里存在xss漏洞,因此只需闭合前面的双引号即可 payload: http://127.0.0.1/xs...
关闭谷歌chrome xss过滤器
热门推荐
syq1207的博客
06-09 1万+
在使用浏览器进行xss测试时需要预先关闭xss过滤器 chrome的关闭方法: 我的chrome安装目录在C:\Program Files (x86)\Google\Chrome\Application\chrome.exe,关闭方法是在命令行输入以下命令: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"
chrome关闭xss防护
一个安全研究员
03-16 1万+
引用 摘自:http://blog.csdn.net/shiyuqing1207/article/details/46430017 在使用浏览器进行xss测试时需要预先关闭xss过滤器 chrome的关闭方法: 我的chrome安装目录在C:\Program Files (x86)\Google\Chrome\Application\chrome.exe,关闭方...
DOM-XSS漏洞挖掘与攻击面全面解析
2. 跳转功能: 页面中的跳转逻辑,如登录、退出或第三方应用唤起,若允许用户自定义redirecturl参数,攻击者可以利用javascript:alert(1)这样的构造进行XSS攻击。随着移动应用和Webview的普及,跨域跳转的安全问题...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值