做了一个XSS的闯关游戏,攻略贴上来

本文分享了一位玩家制作并体验的XSS闯关游戏的全程攻略,详细解析了各个关卡的解决思路和技巧,帮助读者了解和提升XSS漏洞防范能力。
摘要由CSDN通过智能技术生成

游戏地址:
http://xss-quiz.int21h.jp

第一关:比较简单,直接输入
http://xss-quiz.int21h.jp/?sid=2a75ff06e0147586b7ceb0fe68ee443b86a6e7b9

第二关:也相对简单,闭合标签
http://xss-quiz.int21h.jp/stage2.php?sid=f2d7d60125bdddb208fa757ee5cdae22f6818cd1
"><script>alert(document.domain);</script>
 
第三关:http://xss-quiz.int21h.jp/stage-3.php?sid=9b217ccdc6e28f1a018d6df366553a6152bc65f5
客户端会把输入点的特殊符号给过滤掉,这个地方开始的时候难住了,没想到怎么绕过去
后来查了下,说有用tamper data工具,拦截提交请求,所以也尝试一下
(思考点,原输入点被过滤,看附近是否还有其他注入点科绕过,比如这题,可以对select部分进行绕过
因为这个地方客户端应该不会过滤)
用tamper data 拦截search请求,然后修改p2值为
Japan</option><script>alert(document.domain)</script>
成功。这个地方也不确定,有人这么做,

第四关:
http://xss-quiz.int21h.jp/stage_4.php?sid=293c09bc53b81045a43ac5a79ac535daacbeae87
直接输入,肯定是不对的,这个输入点也是被过滤的,要绕过客户端的这种符号的过滤,跟第三个类似
点击输入框,查看元素,发现还有一个隐藏的框,直接在查看元素的修改invisible:hideen为text
这样在这个框内输入注入串:text,
然后输入:hackme"></input><script>alert(document.domain)</script>

第五关:
http://xss-quiz.int21h.jp/stage--5.php?sid=40b33710efa4a848d21b5a6dd47671e82c31d853
字符串截断+标签闭合
这种形式的是客户端限制的,我们还是通过抓请求包,修改请求包的方式进行绕过
用tamper data拦截请求,并且注意input标签属性的闭合
”><script>alert(document.domain)</script>;

第六关:
http://xss-quiz.i
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值