xss基础关-----来吧来吧读懂它

最新推荐文章于 2021-11-02 19:57:58 发布
最新推荐文章于 2021-11-02 19:57:58 发布
阅读量362 收藏
点赞数
文章标签: xss 代码审计 ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenzzhenguo/article/details/81710253
版权

题目:http://lab1.xseclab.com/realxss1_f123c17dd9c363334670101779193998/index.php

代码:

orgAlert = window.alert;//alert() 方法用于显示带有一条指定消息和一个 OK 按钮的警告框
ok = 0;
var HackingLab="success!";//var声明变量
function newAlert(a) { //函数就是包裹在花括号中的代码块,前面使用了关键词 function
    window.alert = orgAlert;//没有区别,你就认为alert = window.alert没什么区别
    if (a == HackingLab) {
        if (ok == 0) ok = 1;
        alert(a);
        $.post("./getkey.php?ok=1",{'url':location.href,'ok':ok},function(data){
			console.log(data);//$.post( url, [data], [callback], [type] ) :
使用POST方式来进行异步请求
        });
        showkey();
    } else {
        alert(a);
        alert("Please use alert(HackingLab)!!");
    }
}
window.alert = newAlert;
function showkey(){
//XSS题目要自觉.....无论如何都是可以绕过的,索性不加密不编码js了,大家一起玩吧.
	var url="./getkey.php";
    $.post(url,{"getkey":"azzakj"},function(data){
	$("#msg").text(data);	
   });
}

代码审计:
我猜:要打开弹窗,弹窗内容是HackingLab
所以xss注入,在对话框里面输入

原味瓜子、
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xss基础
weixin_54246834的博客
07-27 427
XSS:跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。XSS是由于Web应用程序对用户的输入过滤不足而产生的,攻击者利用网站漏洞把恶意的脚本代码注入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害者用户可能采取Cookie窃取、会话劫持、钓鱼欺骗等各种攻击。这类攻击通常包含了HTML以及用户端脚本语言用户提交的数据中可以构造代码来执行,从而实现窃
XSS.基础
newlife1441的博客
07-26 970
跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息,本文将介绍XSS的两种类型,反射型跨站脚本攻击、DOM型和存储型跨站脚本攻击的示例和基本原理;
XSS基础
qq_50613938的博客
11-02 204
Xss是一个前端漏洞,js情况下通过接受到传输数据进行了js的编码 他的危害条件也是和js能执行的权限有 后门 1、什么是后门,哪些又是后门 攻击者在成功进行非法入侵以后,会留得一个文件便于进行下一次的进攻,这个文件就是后门。 后门可能是寄于网站、服务器、文件。控制网站 2、后门在安全测试的实际意义 1.方便下次进攻 2.提供攻击通道 3、于后门的需要了解哪些(玩法、免杀) 玩法(目的更好的隐藏自己、或者直接控制网站)、免杀(检测到后门、防止相东西检测到后门)。 其实就是dom直接就没经过后面,从.
hackinglab基础WP
Yale的博客
04-03 2004
1.key在哪里? 右键查看源代码就得到key了2.再加密一次你就得到key啦~ 给出密文,又说再加密一次就得到key,也就是说同样的操作可用再加密与解密,这种特点的加密方式是ROT13,所以相应地解密即可3.猜猜这是经过了多少次加密? 看到=自然想起base64,尝试多次解密知道不能再解密为止,python自己写个跑一下就行4.据说MD5加密很安全,真的是么? 都提示md5了,直接解密即可
xss-labs-master.rar
05-09
总结,"xss-labs-master.rar" 是一个宝贵的XSS学习资源,它不仅涵盖了XSS基础理论,还提供了实战经验,对于想要深入理解和防范XSS攻击的人来说,是一次难得的训练机会。通过系统地完成这二十个卡,你将能够更好...
xss-labs-master源码
07-06
总的来说,"xss-labs-master"提供了一个丰富的学习资源,通过实际操作帮助我们理解XSS攻击的本质,学习如何检测和防止这类威胁。在实践中不断提升我们的安全意识,这对于任何从事Web开发或网络安全的人来说都是至...
xssor2:XSS'OR-用JavaScript破解
02-19
XSS'OR XSS'OR-使用JavaScript进行入侵。 在线的 您可以尝试: 和 它包含三个主要模块:编码/解码,Codz,探针。 安装 具有Django 3.0。*的Python 3或具有Django 1.11。*的Python 2 git clone 或直接下载 cd ...
xss-labs.zip
03-18
这个“xss-labs.zip”文件显然是一个专门为学习和理解XSS漏洞而设计的实践平台,包含了20个具有不同XSS特征的网页示例。通过这个实验室,你可以深入学习如何检测、防范以及利用XSS漏洞。 XSS攻击通常分为三种类型:...
007-Web安全基础3---XSS漏洞(CISP-PTE).pptx
10-18
007-Web安全基础3---XSS漏洞(CISP-PTE).pptx
靶场练习之hackinglab(鹰眼)-脚本题
快乐时光
05-31 522
1、寻找key 访问给出的链接:http://lab1.xseclab.com/xss1_30ac8668cd453e7e387c76b132b140bb/index.php,进入页面,有提示语在这里找到key,也是一个访问链接:http://lab1.xseclab.com/xss1_30ac8668cd453e7e387c76b132b140bb/search_key.php,访问新链接之后进入一个页面提示此处没有key,我们可以看到浏览器上面的uri已经不是search_key.php页,说..
CTF writeup 1_网络安全实验室
热门推荐
Troy
10-26 31万+
基础1.key在哪里? 过地址打开网址 “key就在这里中,你能找到他吗? ” 看看源代码有没有线索~果然<html> <head> <meta http-equiv="content-type" content="text/html;charset=utf-8"> </head> <body> key就在这里中,你能找到他吗?
CTF学习笔记——XSS攻击
Obs_cure的博客
08-02 9518
一、XSS原理 跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。[1]百度百科 HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是HTML标签的开始,与之间的字符是页面的标题等等。当动态页面中插入的内容含有这些特殊字符(如<)时,用户浏览器会将其误认为是插入了HTML标签,当这些HTML标签
CTF/CTF练习平台-XSSxss注入及js unicode编码及innerHTML】
Sp4rkW的博客
08-31 1万+
原题内容: http://103.238.227.13:10089/ Flag格式:Flag:xxxxxxxxxxxxxxxxxxxxxxxx 题目有点坑啊,注入点都没说明,去群里问的,这题注入点为id(get方式),id的值会进行替换后进入s 补充了这个,好了,继续做题 右键源码 &lt;script&gt; var s=""; docu...
hackinglab-脚本12——XSS基础
Ifish的博客
07-31 1056
XSS基础 题目描述 解题思路 打开链接,显示如下: 随意提交一个x,显示如下: 查看源码,看到一个xss文件 看到源码,就是让alert(HackingLab) 提交&amp;lt;script&amp;gt;alert(HackingLab)&amp;lt;/script&amp;gt;,提示成功 得到key ...
CTF web总结
giantbranch的专栏
04-09 7万+
欢迎光顾我的新博客:https://www.giantbranch.cn 本文链接:http://blog.csdn.net/u012763794/article/details/50959166 本文根据自己的做题经验及各大练习平台不断更新,若我最近懒了,没怎么更新,请在下面提醒我或鼓励我 仅作为自己的笔记及刚入门的童鞋,大牛勿喷 基础篇   1.直接查看源代码   http:/...
hackinglab-脚本13——XSS基础2简单绕过
Ifish的博客
07-31 747
XSS基础2:简单绕过 题目描述 解题思路 打开发现和上一道题一摸一样,输入上一道payload,被检测到 考虑到可能是对键字做了过滤,所以换一种写法&lt;img src=# onerror=alert(HackingLab) /&gt;提交,发现成功,得到key ...
hackinglab 脚本 15 Principle很重要的XSS
Jacob12774的博客
12-03 693
这一提示: 如果实在做不出来了,可能是思路被局限,可以参考一下这里: Principle: 对于黑盒XSS,首先要知道在哪里过滤的,过滤了什么,如何过滤的,什么情况下触发过滤 即Where/What/How/When 之后你便可以建立自己的Fuzz Testing Libs 接下来便分享下我的思路 我们先输入 javascript:alert(1) 结果可想而知,肯定是被屏蔽(此处屏蔽指...
hackinglab-脚本14——XSS基础3检测与构造
Ifish的博客
07-31 1339
XSS基础3:检测与构造 题目描述 解题思路 xss过滤三件套,这道题估计是要过滤&lt;&gt;了,果然不出所料,在前两题的基础上,过滤掉&lt;&gt;,使用最常见的转16进制绕过,提示错误 说明这道题应该是有自己的过滤规则,试了很多次以后发现,虽然过滤了各种键字以及&lt;&gt;,但是没有过滤’,这里构造’onmouseenter=alert(HackingLab)&...
xss-labs-master靶场
最新发布
09-29
xss-labs-master靶场是一个用于学习和实践跨站脚本攻击(Cross-Site Scripting,简称XSS)的实验环境。可以从GitHub上下载该靶场的源码,地址是https://github.com/do0dl3/xss-labs。在这个靶场中,你可以找到各种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值