通过某XSS挑战平台学习姿势

最新推荐文章于 2024-05-06 12:53:36 发布
最新推荐文章于 2024-05-06 12:53:36 发布
阅读量1.1k 收藏 2
点赞数 1
分类专栏: XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mikasa_/article/details/88603170
版权

平台在这里

第一关:

在这里插入图片描述

很简单直接在name除,输入:

在这里插入图片描述

第二关:

在这里插入图片描述

继续老套路试试,发现并没有如期弹窗:
在这里插入图片描述

审查源码看看:
在这里插入图片描述

可以看到有两个输出点,第一个输出点经过了html实体编码,第二个我们可以用闭合引号的方法来触发xss

payload如下

" onmousemove=alert(/xss/) type="

在这里插入图片描述
首先闭合左边的value的引号,然后通过一些事件来触发xss,最后在闭合后面的引号。

事件总结如下

click:单击
dblclick:双击
mousedown:鼠标按下
mouseup:鼠标抬起
mouseover:鼠标悬浮
mouseout:鼠标离开
mousemove:鼠标移动
mouseenter:鼠标进入
mouseleave:鼠标离开

键盘事件
keydown:按键按下
keyup:按键抬起
keypress:按键按下抬起

HTML事件
load:文档加载完成
select:被选中的时候
change:内容被改变
focus:得到光标
resize:窗口尺寸变化
scroll:滚动条移动

第三关

首先还是用去判断,然后查看源码

最低0.47元/天 解锁文章
Mikasa_
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss挑战(超详细小白)
weixin_64655821的博客
09-22 1335
xss挑战前十关
xss挑战心得(简单易懂)
xtx4506的博客
03-09 1871
作为一个呢刚刚学习web渗透的小菜鸟,一开始也是在老师的带领下接触到了xss挑战,个人感觉是很经典的题目嗷,以后就会在这里进行再学习了,这两天挑战也是记录了不少,所以希望可以记录下来,菜鸟的自我记录,大神勿喷噢 ---------------------------------------------------------------------------------------------------------------------- level 1 相信不少人和我一样看到...
XSS Challenges 靶场通关解析
最新发布
Flag少侠的博客
05-06 2048
XSS Challenges(跨站脚本攻击挑战)是一种用于学习和测试跨站脚本(XSS)漏洞的实验性平台。这些挑战旨在帮助安全研究人员和开发人员了解XSS漏洞的工作原理、检测方法和防御技巧。通常,XSS Challenges平台提供一系列不同级别和类型的XSS漏洞场景,参与者需要利用这些漏洞实现特定的攻击目标。这些挑战可以包括在网页输入框中注入恶意脚本、利用DOM(文档对象模型)漏洞执行JavaScript代码等。参与者需要通过分析和利用漏洞,成功地触发XSS漏洞并实现攻击目标,从而完成挑战
XSS挑战之旅,学习笔记
qq_43573131的博客
11-28 731
因为我是边做边写博客,所以快捷目录就先不弄了,闲了再弄 最近把xss认真的好好过一边,于是先找了个早一点的题 xss挑战之旅嘿嘿 第一关: http://test.ctf8.com/level1.php?name=test 观察到通过get方式传参有会显, 直接打最简单的xss playload: <script>alert(1);</script> 第二关: http...
xss挑战之旅学习笔记
weixin_44300286的博客
06-07 450
前言:前几天学了xss攻击,觉得有必要写一篇博客记录一下。
xss challenge挑战(1-5)较详细解答
imredboy的博客
02-14 3459
网上已经有很多关于xss挑战赛靶场的解题思路了,不过想想还是自己再写一篇好了,刚好为自己做个笔记 LEVEL 1 网上已经有很多关于xss挑战赛靶场的解题思路了,不过想想还是自己再写一篇好了,刚好为自己做个笔记 LEVEL 1  网上已经有很多关于xss挑战赛靶场的解题思路了,不过想想还是自己再写一篇好了,刚好为自己做个笔记 LEVEL 1 找xss漏洞和其他漏洞的方法一样,就是找输入接口,找到可以输入数据的地方,构建攻击字段达成攻击。 第一关中明显在url数据后get提交了参数 故构建xxxx/leva
Xss学习研究平台源码.zip
05-12
在“Xss学习研究平台源码.zip”这个压缩包中,包含了一个用于学习和研究XSS攻击的测试平台。这个平台可以帮助开发者、安全研究员以及对网络安全感兴趣的人员深入理解XSS的工作原理,学习如何防御这种攻击。 XSS攻击...
xss平台源码
09-28
"xss平台源码"的提供,对于学习XSS攻击与防御、进行渗透测试以及提升网站安全性具有重要意义。 **一、XSS攻击原理** XSS攻击的核心在于利用网站的不安全输入处理,使得攻击者可以在用户的浏览器中执行恶意...
XSS测试平台.zip
08-06
XSS测试平台是测试XSS漏洞获取cookie并接收Web页面的平台
xss闯关挑战
11-09
这个是XSS闯关文件,解压后放在服务器的对应文件夹即可。 闯关笔记我博客中有记录,新手可以参考。 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如...
基于机器学习建模的 XSS 攻击防范检测.docx
05-21
基于机器学习建模的 XSS 攻击防范检测.docx
Docker-xss-platform平台(腾讯云服务器)
weixin_46801402的博客
09-15 677
Docker-xss-platform平台(腾讯云服务器)
使用Docker搭建XSSPlatform_test
weixin_59872639的博客
03-17 1307
docker加速器 创建或修改/etc/docker/daemon.json { "registry-mirrors": [ "https://1nj0zren.mirror.aliyuncs.com", "https://docker.mirrors.ustc.edu.cn", "http://f1361db2.m.daocloud.io", "https://registry.docker-cn.com" ] } .
做了一个XSS的闯关游戏,攻略贴上来
yd0str
12-13 8744
游戏地址: http://xss-quiz.int21h.jp 第一关:比较简单,直接输入 http://xss-quiz.int21h.jp/?sid=2a75ff06e0147586b7ceb0fe68ee443b86a6e7b9 第二关:也相对简单,闭合标签 http://xss-quiz.int21h.jp/stage2.php?sid=f2d7d60125bdddb20
浅谈XSS攻击的那些事(附常用绕过姿势
qq_42801460的博客
03-29 1367
有的时候,服务器往往会对代码中的关键字(如alert)进行过滤,这个时候我们可以尝试将关键字进行编码后再插入,不过直接显示编码是不能被浏览器执行的,我们可以用另一个语句eval()来实现。由于盗取的cookie需要传回给攻击者,因此往往需要一个服务器来接收盗取的cookie,这也就是xss平台的作用了。也就是攻击相对于访问者而言是一次性的,具体表现在我们把我们的恶意脚本通过url的方式传递给了服务器,而服务器则只是不加处理的把脚本“反射”回访问者的浏览器而使访问者的浏览器执行相应的脚本。
HTML onmouseover, onmouseout , onmousemove 事件属性
热门推荐
ssisse的博客
05-14 1万+
HTML onmouseover 事件属性 定义和用法 onmouseover 属性在鼠标指针移动到元素上时触发。 注释:onmouseover 属性不适用以下元素:、、、、、、、、、 或 。 语法 element onmouseover="script"> 属性值 值 描述 script onmous
32个触发事件XSS语句的总结
weixin_33788244的博客
01-26 443
作者为monyer 1、onmouseenter:当鼠标进入选区执行代码 <div style="background-color:red" onmouseenter="alert('bem')">123456</div> 2、onmouseleave:当鼠标离开选区执行代码 <DIV style="BACKGROUND-COLO...
XSS漏洞05】XSS通关大挑战
Fighting_hawk的博客
02-25 3983
1. 通过测试语句执行情况、网页源码: 1. 判断大小于号是否过滤与转义; 2. 判断单双引号是否过滤与转义; 3. 判断关键字是否过滤与转义; 4. 判断大小写是否转化; 5. 判断语句闭合方式。 6. 额外地,可以分析是否存在其他注入点。 2. 根据判断结果,灵活构造语句与利用绕过规则。...
xsschallenge1~13通关详细教程
来日可期的博客
08-25 1823
xsschallenge通关详细教程
Breach-2_final2.1_xss挑战上线:实战演示与攻防策略
Breach-2_final2.1.xss上线提供了一个动态且具有挑战性的环境,让玩家在模拟的生产环境中学习和应对实际的网络安全威胁,尤其是XSS漏洞的防护和利用技巧。参与者不仅需要运用基础的网络协议知识,还要灵活运用安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值