XSS
文章平均质量分 88
点燃银河尽头的篝火(●'◡'●)
正在努力的网工萌新一枚,请大家多多指教~
展开
-
【Pikachu】XSS Cross-Site Scripting(前五关)
先输入试试,发现文本框有长度限制查看网页源代码,发现长度限制为20将长度改大,比如改成100:然后在输入框中输入payload:查看提示发现要先用admin账号密码登录登进去之后发现和上一关一样且文本框没有长度限制输入payload:输入payload:提交之后出现弹窗,点击。点之后就变成下图这样(留言内容不显示),但是多了个,说明确实多了一条留言先输入试试。出现"what do you see?"查看网页源代码中对应代码发现我们输入的并未执行,可以用onclick绕过在文本原创 2024-09-02 18:44:28 · 978 阅读 · 0 评论 -
【xss-labs】xss-labs 靶场通关(1-9)
查看网站源码,可以发现get传参name的值test插入了html里头直接在url后加上JS语句即可第二关 lever2查看网页源码发现和第一关差不多,先在url后加上JS语句试试发现报错再次查看源码,发现JS语句被包在中没有执行应该闭合第三关 level3先输入123456,然后查看网站源码所以还是闭合问题,输入第二题的JS语言试试发现报错用单引号闭合试试,还是报错,检查源代码发现符号被过滤我们可以利用onclick绕过号的过滤来达到执行js的目的在文本框输原创 2024-08-31 18:37:14 · 1310 阅读 · 0 评论 -
【web安全】XSS篇
XSS全称(Cross Site Scripting)跨站脚本攻击,XSS属于客户端攻击,受害者最终是用户,但特别要注意的是网站管理人员也属于用户之一。这就意味着XSS可以进行“服务端”攻击,因为管理员要比普通用户的权限大得多,一般管理员都可以对网站进行文件管理,数据管理等操作,而攻击者一般也是靠管理员身份作为“跳板”进行实施攻击。XSS攻击最终目的是在网页中嵌入客户端恶意脚本代码,最常用的攻击代码是javascript语言,但也会使用其它的脚本语言。原创 2024-09-02 17:06:01 · 1085 阅读 · 0 评论