浅谈XSS简单漏洞xss-labs-master(初级),面试网络安全系统架构

最新推荐文章于 2024-05-25 21:15:18 发布
最新推荐文章于 2024-05-25 21:15:18 发布
阅读量864 收藏 19
点赞数 10
分类专栏: 2024年程序员学习 文章标签: xss 面试 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60666452/article/details/137443557
版权

反射型xss

2.1、level1

语句插入:

并没有任何限制直接插入

这里进行补充弹窗函数

alert
confirm
prompt

?name=

结果

2.2、level2

跟刚才的差不多按刚才的去输入看看怎么个情况

好了,没反弹看看源码很明显有一个过滤函数

 那很简单逃逸双引号编码绕过就行了

第二种方法:点击事件 on

自然点击一下

2.3、level3

我们试着跟刚才一样闭合去加双引号,很明显没有逃逸出来

试试单引号

 那自然闭合了测出来了

2.4、level4

咱们的上一种方法直接过,利用属性

它的考察点在这里,它在考察你的input闭合

2.5、level5

试一试上一关的闭合方式

很明显过滤了看看源码

很明显这里过滤和替换了不能使用script标签了,我们使用javascript伪协议

1" > 1

很明显可以的

2.6、level6

过滤了这么多东西

 很简单绕过了

2.7、level7

替换为空了on直接进行双写

2.8、level8

这友情链接不就是我们刚才玩的javascript伪协议直接输入

很明显被过滤掉了

直接编码不就行了

javascript:alert(1)

2.9、level9

链接不合法必须加http

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
img

一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算

4bb5a486d4c3ab8389e65ecb71ac0)

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算

理科生学Java
关注
专栏目录
XSS闯关——第二关:level2
老夏家的云
11-09 2008
第二关:level2   输入框内字符为test,屏幕上方提示     所以输入的test被全部传入,payload为4 右键查看网页源代码分析 所以这里需要先将value属性闭合,然后使用javascript脚本调出alert函数过关 //输入代码回车 "><script>alert('yes')</script>   回车...
xss-labs通关攻略教程(level1~level 10)
2401_84091580的博客
04-13 931
你要问前端开发难不难,我就得说计算机领域里常说的一句话,这句话就是『难的不会,会的不难』,对于不熟悉某领域技术的人来说,因为不了解所以产生神秘感,神秘感就会让人感觉很难,也就是『难的不会』;当学会这项技术之后,知道什么什么技术能做到什么做不到,只是做起来花多少时间的问题而已,没啥难的,所以就是『会的不难』。我特地针对初学者整理一套前端学习资料分享给大家,戳这里即可领取厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**如果你觉得这些内容对你有帮助,可以扫码获取!!(备注:前端)
XSS-labs-level2详解
m0_49025459的博客
05-23 187
当用户在文本框中输入搜索关键字并点击提交按钮时,表单将通过GET方法发送给名为“level2.php”的脚本页面。PHP代码检查URL参数中的“keyword”值,对其进行HTML转义,然后将其用于搜索结果消息中的输出。​由此可见我们的输入的恶意代码并没有被网页直接执行,所以我们需要将标签闭合,然后注释掉最后面的”>。我们正常输入然后在网页前端看一下我的输入是否存在问题。而其他标签法遵循这个原理也可以进行xss。就可以成功绕过,形成反射性xss了。
xsslabs靶场通关(持续更新)
m0_72286569的博客
03-14 2112
本篇文章将介绍在xsslabs这个靶场中每一个关卡的详细通关策略,若有瑕疵还望客官多多担待。
xss-labs-master.zip(xss注入通关游戏/靶场)
03-21
`xss-labs-master.zip`包含了一个专门用于学习和实践XSS注入的通关游戏或靶场,对于网络安全测试人员来说,这是一个极好的学习资源。 **XSS分类** 1. **存储型XSS**:也称为持久型XSS,攻击者将恶意脚本存入服务器...
xss-labs-master.rar
05-09
"xss-labs-master.rar" 提供了一个针对XSS漏洞的专项练习平台,旨在帮助初学者及安全爱好者提升对XSS攻击的理解和防御能力。这个靶机资源共分为二十个关卡,由浅入深,逐步引导用户掌握XSS攻防的核心技巧。 一、XSS...
xss-labs-master源码
07-06
XSS(Cross Site Scripting)是一种常见的网络安全漏洞,它允许攻击者在用户的浏览器上执行恶意脚本,进而盗取用户数据或控制用户的行为。"xss-labs-master"是一个专门设计的靶场,包含了20个级别的XSS练习,旨在...
xss-labs-master靶机1-20关解题思路
qq_41734243的博客
05-09 7243
xss-labs-master第一关第二关第三关第四关第五关第六关第七关第八关第九关第十关 xss-labs-master有二十关 在这篇文章中,默认读者已有WEB渗透测试相关知识,以及PHP、HTML等相关知识。 第一关 a、后台代码 <!DOCTYPE html><!--STATUS OK--><html> <head> <meta ht...
网安学习日志 XSS靶机训练(xss-labs-master)(1-10)
qq_41819426的博客
01-19 5105
1.第一关 页面中我们并没有看到输入框,但是我们看到url中可以进行name值的修改。 看起来应该没有任何的过滤,我们直接输入语句尝试: <script>alert(1)</script> 这里还可以用很多方法,以下列举一些常用的方法: <input type=“text” onmouseover=alert(1)> <a href="javascript:alert(1)">a</a> <a onmouseover=“javasc
xss-labs通关攻略教程(level1~level 10(1)
m0_60388261的博客
03-18 1039
为了帮助大家更好温习重点知识、更高效的准备面试,特别整理了《前端工程师面试手册》电子稿文件。内容包括html,css,JavaScript,ES6,计算机网络,浏览器,工程化,模块化,Node.js,框架,数据结构,性能优化,项目等等。包含了腾讯、字节跳动、小米、阿里、滴滴、美团、58、拼多多、360、新浪、搜狐等一线互联网公司面试被问到的题目,涵盖了初中级前端技术点。前端面试题汇总开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】JavaScript性能linux。
2、xss-labs之level2
最新发布
weixin_51520483的博客
05-25 707
alert(xss)</script>,发现返回<script>alert(xss)</script>这个闭合,然后后面在跟我们的xss代码,这样传入的value就被过滤,但我们xss就被网页执行。2、然后开始执行PHP的后端代码,你的参数就执行不了,传入的payload也执行不了。一开始我在想传入<script>alert("xss")
xss-labs/level-2
m0_71299382的博客
11-28 270
xss-labs/level-2
XSS实战(Level1-10小试牛刀)
Hala
05-15 1789
文章目录XSS实战说明level1level2level3level4level5level6strtolower()函数说明参数范例level7level8HTML实体转码level9PHP strpos()函数定义和用法相关函数:语法技术细节level10总结: XSS实战 说明 环境 Metasploitable2-Linux 步骤: 1. 判断是否存在XSS攻击的可能(提交的内容,页面会显示出来) 2. 判断可输入内容在标签内(属性)还是值 3. 判断闭合(在标签内部的话就需要提前闭合,使XSS
XSSxss-labs-level2
Hugu
02-23 564
文章目录0x01 XSS-Labs0x02 实验工具0x03 实验环境0x04 实验步骤0x05 实验分析0x06 参考链接 0x01 XSS-Labs   XSS(跨站脚本攻击)是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该网页或请求该网页中的内容之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。   XSS按照利用方式主要分为:反射型XSS、存储型XSS、DOM型XSS。反射型XSS是攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS
2.xss之旅—Level2
qwsn
03-13 1642
XSS过程: 输入框:<script>alert(/qwsn/)</script> //查看源码,发现:script脚本被写在input标签的value的属性值内, <input name=keyword value="<script>alert(/qwsn/)</script>"> 构造payload:闭合value属性和input...
XSS闯关——第一关:level1
老夏家的云
11-09 2177
第一关:level1   这里的payload为4,查看地址栏与之对应的传参为test   页面没有输入的地方,所以可以直接在地址框注入JavaScript脚本   回车过关:        ...
XSS小游戏学习笔记(level 1-10)
烟敛寒林的博客
09-21 3296
XSS小游戏 level 1 右键查看页面源代码 &lt;script&gt; window.alert = function() { confirm("完成的不错!"); window.location.href="level2.php?keyword=test"; } &lt;/script&gt; 即提示你要让网页弹框,修改url后面的参数 http://l...
XXS level2
weixin_33991727的博客
03-21 173
(1)用level1的方法尝试,发现行不通 (2)查看PHP源代码 <?php ini_set("display_errors", 0); $str = $_GET["keyword"]; echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>...
xss-labs-master靶场
09-29
xss-labs-master靶场是一个用于学习和实践跨站脚本攻击(Cross-Site Scripting,简称XSS)的实验环境。可以从GitHub上下载该靶场的源码,地址是https://github.com/do0dl3/xss-labs。在这个靶场中,你可以找到各种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值