![](https://img-blog.csdnimg.cn/20201014180756923.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
XSS Challenges
null1024_
一万年太久,只争朝夕
展开
-
XSS Challenges/刷题/Stage #7
思路和Stage #7一样,这里不在赘述攻击代码如下 ,攻击成功" onclick=alert(document.domain)原创 2021-09-17 21:31:45 · 657 阅读 · 0 评论 -
XSS Challenges/刷题/Stage #6
进入题目页面,如下图,随便输入F12查看源码,发现如下图,我原本的思路是想着拼接然后闭合双引号,结果提交后,发现不对原创 2021-09-17 01:03:35 · 118 阅读 · 0 评论 -
XSS Challenges/刷题/Stage #5
一、题目页面输入尝试字符段,发现长度受限制了,导致攻击代码运行失败二、进行攻击查看源代码,果然出现问题了,maxlength属性限制了输入代码的长度,直接将15改成9999就行了攻击代码如下,还是闭合双引号,实现代码运行"><script>alert(document.domain)</script><攻击成功,进入Stage #6...原创 2021-09-12 18:47:39 · 90 阅读 · 0 评论 -
XSS Challenges/刷题/Stage #4
一、题目页面输入熟悉的代码,提交,发现好像和Stage #3一样欸,有了上次的经验,我们下面的解题也就方便多了二、进行攻击抓包,查看请求,p1参数的<></>标签果然被过滤了,同时多了一个p3参数,估计我们这题可以从这入手查看源代码,考虑写入的脚本代码,发现p3可以拼接入代码拼接效果如下图所示 ,成功弹窗...原创 2021-09-11 11:32:00 · 143 阅读 · 0 评论 -
XSS Challenges/刷题/Stage #3
一、题目页面打开题目发现这次多了一个Choose a country,随便选一个,还是那串代码,提交,返回页面如下图二、进行攻击还是一样的步骤,查看源代码,如下图,发现有两个参数p1、p2我们要思考为啥输入的的代码没有攻击成功,显然进行了过滤,我们利用BurpSuite抓包验证,果然<></>标签被过滤掉,导致代码没有运行成功那我们得想办法从p2(也就剩它了)进行攻击,修改p2参数,Forward,发现成功弹窗,攻击成功,具体代...原创 2021-09-11 11:16:25 · 357 阅读 · 0 评论 -
XSS Challenges/刷题/Stage #2
一、题目页面尝试着随便输入,发现返回结果如下图所示,没办法我们只能查看源代码二、进行攻击查看源代码,发现提交的字符串在value属性里,但是我们不能直接输入攻击代码,因为要把双引号闭合掉,这样才能成功运行代码。攻击代码如下"/><script>alert(document.domain)<script><...原创 2021-09-11 10:36:16 · 116 阅读 · 0 评论 -
XSS Challenges/刷题/Stage #1
一、题目页面平平无奇的页面,还是需要我们写入代码,实现弹窗攻击二、进行攻击查看源代码后原创 2021-09-10 21:58:24 · 92 阅读 · 0 评论