Pikachu-Cross-Site Scripting-DOM型xss_x

已于 2024-10-02 18:09:41 修改
阅读量325 收藏
点赞数 2
分类专栏: pikachu通关 文章标签: xss 前端
于 2024-10-02 18:07:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guanrongl/article/details/142683285
版权

查看代码,输入的内容,通过get请求方式,用text 参数带过去;

获取text内容,赋值给xss 然后拼接到 dom 里;构造payload的关键语句:

<a href='"+xss+"'>就让往事都随风,都随风吧</a>

闭合标签,如下;

<a href='#' onclick="alert(11)">'>就让往事都随风,都随风吧</a>

所以str 为 #' οnclick="alert(11)">

输入,得到xss 结果

同样的,由于直接拼接到 get 的请求参数,所以这也是个反射型;可以直切把url复制出来,达到攻击效果;

什么鬼昵称
关注
专栏目录
pikachu(皮卡丘)--Cross-Site Scripting
m0_74871683的博客
09-15 213
反射XSS将用户输入的内容作为代码让浏览器执行达到攻击目的,一般需要让用户访问攻击者构造的URL。这种类的攻击只发生在客户端上,并且需要从带有恶意脚本参数的特定URL进入,所以也称为非持久XSS。交互的数据一般不会被存在在数据库里面,一次性,所见即所得,一般出现在查询类页面等。
Pikachu-Cross-Site Scripting-DOMxss
guanrongl的专栏
10-02 578
是一个与平台、编程语言无关的接口,它允许程序或脚本动态地访问和更新文档内容、结构和样式,处理后的结果能够成为显示页面的一部分。dom就是一个树状的模,你可以编写Javascript代码根据dom一层一层的节点,去遍历/获取/修改对应的节点,对象,值。当点击try it ,调用 没有Function方法, 获得 id为demo的元素,然后修改 它的内容,让他为alert弹窗。这样就可以构造一个完整的闭合, what 前面的 '> 可以不用管,当作时文本的一部分;所以,关键是对这段代码构造闭合;
Pikachu-----Cross-Site ScriptingXSS
m0_65712192的博客
12-17 955
Pikachu-----Cross-Site ScriptingXSS
Pikachu-Cross-Site Scripting-反射xss(get)
guanrongl的专栏
10-02 640
存储XSS是指恶意脚本被存储在目标服务器上,当用户访问包含该脚本的页面时,脚本会被执行。例如,攻击者可以在留言板中输入恶意脚本,当其他用户查看留言时,脚本会在他们的浏览器中执行。这种类XSS不需要服务器端的参与,攻击者通过构造特定的URL或操作DOM,使得浏览器执行恶意脚本。提交构造的脚本代码(以及各种绕过姿势),看是否可以成功执行,如果成功执行则说明存在XSS漏洞;2、输入一组“特殊字符+唯一识别字符”,点击提交后,查看返回的源码,是否有做对应的处理;先输入各种特殊字符,查看源代码,查看页面返回;
pikachu—Cross-Site ScriptingXSS
Cwillchris的博客
10-31 371
实验步骤: 一、反射XSS(get) 多次输入,发现输入什么内容,提示都会出现输入内容 输入 <script>alert(1) ,提示whois,说名语句被执行了,没有显示,但是长度受限制,那我们就改一下长度 按F12打开控制台,选择HTML-编辑,右侧搜索length,搜到把长度值改为100 输入 <script>alert(1) </script> ,成功执行JS代码 二、反射XSS(post) 正常输入,
Pikachu(皮卡丘)靶场---Cross-Site Scripting
m0_74850066的博客
06-04 455
跨站脚本攻击(Cross-site scriptingXSS)是一种安全漏洞,攻击者可以利用这种漏洞在网站上注入恶意的客户端代码。若受害者运行这些恶意代码,攻击者就可以突破网站的访问限制并冒充受害者。根据开放式 Web 应用安全项目(OWASP),XSS 在 2017 年被认为7 种最常见的 Web 应用程序漏洞之一如果 Web 应用程序没有部署足够的安全验证,那么,这些攻击很容易成功。
pikachu靶场-Cross-Site Scripting(XSS)
大帅black的博客
10-24 845
[TOC](pikachu靶场-Cross-Site Scripting(XSS))
pikachu之Cross-Site-Scripting
Alsn86的博客
11-23 3992
pikachu之Cross-Site-Scripting 反射xss(get) 抓包情况 使用123</p><script>alert(666)</script>可以完成闭合 由于输入框的输入长度有限制,所以修改为100,或者直接在get参数里输入也可以 弹窗 反射性xss(post) 先用admin/123456登陆一下系统,为了获得cookie,如果想要尝试,可以在xss完成后插入beef的恶意代码来获取cookie 抓包查看 使用123</p&
pikachu靶场之Cross-Site ScriptingXSS
Christma1s的博客
03-06 580
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类: 1.反射性XSS; 2.存储XSS; 3.DOMXSS; ...
pikachu---XSS漏洞
m0_52822871的博客
08-31 645
实验环境–pikachu靶机 (记录学习笔记) 一 XSS概述 1.XSS定义 •人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。 •跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。 2.XSS原理
Cross-Site Scripting-跨站脚本攻击
田田云逸的博客
04-28 632
#' onclick=alert('jwt') '</a>闭合后:<a href="#" onclick="alert(1399)">#' onclick='alert(1399)
pikachu-XSS(跨站脚本攻击)
a1245678899的博客
11-09 1178
XSS漏洞的成因是没有对WEB前端的输入边界尽心严格的过滤,造成攻击者可以通过构造脚本语言使得输入的内容 被当成正常的HTML来执行(类似于SQL注入),从而产生危害。造成DOMXSS的原因是前端的输入被DOM给获取到了,通过DOM又在前端输出,跟反射和存储比起来,它是不经过后台交互的。存储XSS和反射XSS形成的原因是一样的,不同的是存储XSS下攻击者的可以将脚本注入到后台存储起来,构成更加持久的危害。编码,后台过滤了特殊字符,比如标签,但该标签可以被各种编码,后台不一定过。
Pikachu靶场-xss详解
qq_53083285的博客
10-30 7774
Picachu靶场-xss跨站脚本漏洞概述跨站脚本漏洞类及测试流程反射XSS(post&get)存储XSSDomXSSxss-获取cookiexss-进行钓鱼xss-获取键盘记录xss盲打xss的过滤和绕过xss输出在href和js中的案例xss的防范措施 XSS-跨站脚本漏洞目录 跨站脚本漏洞概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类: 1.反射性XSS; 2.存储XSS;
#渗透测试#SRC漏洞挖掘#XSS跨站脚本介绍02绕过
最新发布
soc的博客
11-03 834
免责声明 本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停止本文章阅读。
XSS-libs
2303_77961060的博客
10-30 482
alert(1)
XSS(Cross - Site Scripting,跨站脚本攻击)是一种常见的网络安全漏洞
huanghm88的专栏
10-31 1081
XSS(Cross - Site Scripting,跨站脚本攻击)是一种常见的网络安全漏洞,以下是对它的详细介绍:&"'
XSS小游戏【1-13关】
XiaoYeZhu_1314的博客
10-30 539
第一关 Payload:<script>alert(1)</script> 第二关 Payload:keyword=<script>alert(1)</script> 发现没有成功,F12发现需要闭合input 标签 再次输入payload:aaa"><svg onload=alert(1)> //当这个输入被插入到网页中时,浏览器会将其解析为HTML代码,并执行其中的JavaScript代码 第三
#渗透测试#SRC漏洞挖掘#XSS跨站脚本介绍01
soc的博客
11-03 637
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的XSS是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。
-XSS-
qq_75005708的博客
10-30 418
链接搭建过程非常容易的搭建好之后,就可以点击图片开始闯关了。
pikachu靶场domxss
08-16
Pikachu靶场是一个用于漏洞测试的平台,而DOMXSS(跨站脚本攻击)是一种利用网页中的DOM(文档对象模)进行攻击的方式。在DOMXSS攻击中,攻击者通过注入恶意脚本来篡改网页的行为,使其执行攻击者预期的操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值