前言:这里是有关于xss靶场的练习,是一个很常见的靶场,链接放在下面。你们也可以去下载源码使用小皮去搭建,下面开始我们的练习!
目录
链接
欢迎来到XSS挑战https://xssaq.com/yx/
level1
这里我们的输入点在url上,直接使用常见代码注入
<script>alert(1)</script>
level2
直接使用代码注入,发现失败
使用F12查看元素
发现我们的代码给value包住了,那么我们使用">闭合
level3
这里同样使用闭合,但是我们发现这里把"<" ">" 这两个东西转为HTML实体编码
那么我们构造事件去完成注入
' οnclick='alert(1)
level4
这里同样构造事件,提醒:这里要使用双引号闭合
level5
这里同样使用构造事件来尝试注入,但是发现他好像把这个方法干掉了,应该是用了str_place函数
那么我继续使用第二关的闭合方式去闭合
注入是成功了,但是没有形成我们想的标签,那么我们就换一个标签尝试
注入成功!
level6
同样使用闭合方式进行注入
注入失败,使用a标签进行尝试
同样失败,那么我们可以试一下对标签进行大小写绕过
这里使用大小写绕过,注入成功!
level7
这里同样直接使用闭合注入
失败了,是把我们的<script>标签里的script替换成空,那么我就直接双写script就好了
level8
这里直接给了链接,那么我直接写一个伪链接上去: javascript:alert(1)
这里他同样是吧script给干掉了,我们就可以构造事件来进行注入
额。。。6!那么我们只能对我们写的代码进行编码了,直接转成html编码
而后进行注入
注入成功!
level9
这里我们同样使用上一关的代码进行注入,但是失败了
这什么鬼?!!不合法?!!http?
给他个合法看看
得,那么我们同样使用上一关的代码,而后在最后面添加一下//http://
这里我们使用 // 注释掉后面的内容
注入成功!!
好了,目前只会这一点,后面的等我学成归来再写。。。