XSS挑战之旅关卡讲解

最新推荐文章于 2023-11-12 19:28:44 发布
最新推荐文章于 2023-11-12 19:28:44 发布
阅读量104 收藏
点赞数
分类专栏: 笔记 文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hanjunhao2002/article/details/129452710
版权

闲来无事,来做几个关卡的教程,学方法而不是直接抄答案(此处以8-13关为例子)

第八关

在这里插入图片描述
在这里插入图片描述

首先他将“”变为了&quot,而且还将scrpt和on等语句之间加入了下划线,怎么解决呢,不会了
其实,我们可以直接输入javascript:alert(1),将script用实体编号绕过。也可以对script的一个字母进行实体编号。
完成!
在这里插入图片描述

第九关

在这里插入图片描述
他说我不合法!!
考虑一会其实就能发现他就是检测你的网址中有没有http://,没有就直接报错,这是我们可以在0x08的payload的基础上附上http://即可。不要傻乎乎加前面,加后面然后注释掉!
在这里插入图片描述

第十关

在这里插入图片描述
查看页面源代码发现有三个隐藏的框,所以我们需要对这三个框进行操作,操作之后发现只有最后一个才有效果,于是我们就从url入手然后进行破解。

第十一关

在这里插入图片描述
我们发现第十一关是将引号变为了代码,这时候发现改变他隐藏的四个框里的数值都不管用,于是我们选择使用bs抓包然后将包里的值改变发现居然成功了。
在这里插入图片描述
在这里插入图片描述

第十二关

这个和第十一关类似,此处的注入点是请求头中的user-agent字段。burp拦截后修改其值,添加一个弹框事件即可。
在这里插入图片描述

韩大侠~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
xss闯关挑战
11-09
这个是XSS闯关文件,解压后放在服务器的对应文件夹即可。 闯关笔记我博客中有记录,新手可以参考。 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如...
靶场通关-XSS挑战之旅(1-5)
m0_56634355的博客
06-04 1357
直接使用在线靶场网址:https://xss.angelo.org.cn本地搭建xss靶场,这个简单百度吧点击图片后,进入下图:我们可以看到用于js弹窗的代码顺利执行了 看看源码,分析一下 接下来去服务器端看看这一关的源码......
xsschallenge1~13通关详细教程
来日可期的博客
08-25 1682
xsschallenge通关详细教程
xsschallenge通关攻略详解
最新发布
一个努力学习网安的小牛马
11-12 494
简述xsschallenge挑战攻略ps:终极测试代码IPT</查看源代码CTRL+U。
xss-challenge(挑战之旅1~13)
weixin_55404107的博客
10-21 302
好。
xss挑战(超详细小白)
weixin_64655821的博客
09-22 1297
xss挑战前十关
Web安全测试之XSS实例讲解
09-01
本文主要介绍Web安全测试之XSS,这里详细整理了测试XSS的资料,并附示例代码和详细讲解,有需要的小伙伴可以参考下
前端安全之XSS攻击
02-25
有人将XSS攻击分为三种,分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-basedorlocalXSS(基于DOM或本地的XSS攻击)基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端...
Web安全性测试之XSS
01-31
XSS 全称(CrossSiteScripting)跨站脚本攻击,是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.比如获取用户的...
xss挑战之旅11-19关
weixin_52116519的博客
11-15 1210
靶场:XSS挑战之旅1-10关11-20关。
XSS挑战之旅[全20关]上
ldkpolite007的博客
05-06 2456
Contents 0x01 0x02 0x03 0x04 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高亮样式
XSS靶场挑战
weixin_45585955的博客
03-29 865
XSS靶场1-10关方法总结 第一关 里面没有任何可以点击或输入的地方,很明显唯一可输入的只有URL中。利用弹出方式函数alert,注入xss代码,在url里的?name参数后面添加。 <script>alert(/xss/)</script> 第二关 (1)利用鼠标移出函数onmouseout "afawef" onmouseout="alert(/xss/)" 鼠标移出会触发alert弹窗。 (2)利用onclick鼠标点击触发xss弹窗。在...
XSS挑战之旅平台通关练习(1-20)
墨痕诉清风的博客
06-28 1546
"script"转换为"scr_ipt","on"转换为"o_n","src"转换为"sr_c","data"转换为"da_ta","href"转换为"hr_ef",'"'转换为'"',和上一关差不多,不同的是多了自动检测URL,如果发现没有带http://内容则会显示为不合法。这一关,过滤规则的更严格了,经过测试,“>”,“
xss挑战之旅level1-level4,操作步骤配截图
qq_56424902的博客
03-07 259
xss挑战之旅level1-level4,操作步骤配截图。 查看源代码发现弹窗直接属于语句令其弹窗 (2)提前闭合 (3)与第二题一样value提前闭合 (4)与第二题一样 ...
XSS挑战之旅
weixin_41182861的博客
09-26 1946
level-1 在“name=”后面写什么,网页就显示什么。 *查看源码,发现写入的数据在<>标签的外面,那么name的值直接换成JS: <script>alert(1)</script> <svg/onload=alert(1)> <script>confirm(1)</script> <script>prompt(1)</script> level-2 此处为搜索型的xss,分析代码,使用的是get
Xss挑战之旅writeup
cherrie007的博客
08-17 3484
Xss挑战之旅writeup
[渗透测试笔记] 09.xss挑战之旅专题
H4ppyD0g的博客
02-13 547
网址:http://test.ctf8.com/ level1 通过修改url可以修改页面显示,判断是反射型xss,利用点在url。 payload test.ctf8.com/level1.php?name=<script>alert(1);</script> level2 输入信息在form的input里面,需要把input标签闭合 payload "/&...
xss挑战之旅11关到13关,操作步骤配截图。
jzzer447的博客
04-15 539
level11 分析代码,相比上一关,多了一个str11=$_SERVER['HTTP_REFERER'];验证的是http头部的xss注入,使用burp抓包,修改相应的字段,构造http头部referer的payload。 头部本身没有Referer,自行添加了 payload:Referer:" onmouseover=alert(11) type="text" Referer:" onclick="alert(11)" type="text level12...
XSS挑战之旅平台通关练习level1-level6
qq_45970858的博客
10-18 493
部署容器,进入XSS挑战之旅 首先需要关闭防火墙,输入以下命令进行关闭,出现not running红色字样则说明关闭成功 systemctl stop^c firewall-cmd -h^c systemctl stop firewalld.service systemctl stop firewalld systemctl stop firewalld firewall-cmd --stat 这里可以输入一个命令,禁止防火墙开机自启 systemctl disable filewalld 关闭
xss之htmlspecialchars
04-10
这是一个字符串,由于其中含有Unicode编码字符"\xe4\xb9\x8b",需要先解码成中文字符"之"。整个字符串的意思是将特殊字符进行HTML实体编码,避免在网页中被误解为HTML代码而导致安全问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

韩大侠~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值