[pikachu]XSS前五关

已于 2024-08-31 22:30:48 修改
阅读量300 收藏 2
点赞数 10
分类专栏: 靶场 文章标签: xss 笔记 经验分享
于 2024-08-31 22:27:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33171856/article/details/141759565
版权

文章目录

反射型XSS(get)

随便在输入框输入发现将输入框中的内容传给了名叫message的参数
现在就可以写一个恶意脚本传给这个参数了

<script>alert(1)</script>

在这里插入图片描述
弹窗,表示注入成功
在这里插入图片描述

反射型XSS(POST)

这一关是让练习获取COOKIE值
我们先登录进去,
我们可以通过抓包的形式,通过改数据包的形式注入恶意代码,也可以直接在输入框中执行
或者在源代码中进行执行
我通过输入框进行注入恶意代码

<script>alert(document.cookie)</script>

在这里插入图片描述
成功拿到cookie值

存储性XSS

在留言板注入payload,会存储到服务器中的js文件里面

<script>alert(1)</script>

注入成功
在这里插入图片描述

DOM型xss

DOM型不会和数据库进行交互,直接纯和前端进行交互
通过点击弹警告框

' onclick=alert(111)">

注入后我们点击下方链接在这里插入图片描述
会弹窗,表示注入成功
在这里插入图片描述

DOM型xssx

'><img src="#" onmouseover="alert('xss')">

注入后会发现一个图片
在这里插入图片描述

鼠标移动上去弹窗表示注入成功
在这里插入图片描述

JustForAPlayWhile
关注
专栏目录
pikachu靶场XSS漏洞通关
Zqinglele的博客
04-19 2231
存储型是将攻击者在留言板等输入框中输入的恶意代码直接存入数据库中,由于数据库不识别js代码,一旦有用户打开存有恶意代码的网页界面,那么恶意代码就会被从数据库中读出,是一类危害最大的xss攻击。dom型又称self-xss,攻击者利用dom节点的结构在网页中插入一段恶意代码,这段代码被简单处理或未处理后又在网页中的一个位置显示出来,攻击过程中所有恶意代码均在端执行。在用户点击被攻击者插入恶意代码的网页链接后,恶意代码在被攻击者的网页中被执行。尝试插入payload,发现是有长度限制,不能把这句完整插入。
pikachu靶场第五关——XSS(跨站脚本)之反射型xss(get)(附代码审计)
yzasts的博客
03-18 1491
Cross-Site Scripting 简称为“CSS”,为避免与端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:1.反射性XSS;2.存储型XSS;3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于三的江湖地位。XSS是一种发生在端浏览器端的漏洞,所以其危害的对象也是端用户。
Pikachu靶场之XSS漏洞详解
Nai_zui_jiang的博客
08-22 707
跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览页面时,攻击者插入在页面的Script代码会被解析执行,从而达到恶意攻击的目。
pikachu靶场练习——XSS详解
qq_42176496的博客
09-04 2762
pikachu靶场 XSS详解
pikachu靶场五关详解
weixin_66022252的博客
08-31 977
帮助更快理解xss原理及习题详细步骤讲解
pikachu XSS 通关手册
tj2718647721的博客
07-23 189
alert(document.cookie)
PikachuXSS Cross-Site Scripting(五关
m0_71944965的博客
09-02 974
先输入试试,发现文本框有长度限制 查看网页源代码,发现长度限制为20 将长度改大,比如改成100: 然后在输入框中输入payload: 查看提示发现要先用admin账号密码登录 登进去之后发现和上一关一样且文本框没有长度限制输入payload: 输入payload: 提交之后出现弹窗,点击。 点之后就变成下图这样(留言内容不显示),但是多了个,说明确实多了一条留言 先输入试试。 出现"what do you see?" 查看网页源代码中对应代码 发现我们输入的并未执行,可以用onclick绕过 在文本
pikachuXSS闯关
转瞬都有的博客
09-01 150
本文基于的是pikachu中的XSS闯关,在这篇文章里介绍了一共九种XSS的闯关细节和代码,希望对读者理解XSS漏洞有一定的了解。
pikache靶场通关——XSS漏洞
p36273的博客
06-17 3482
Cross-Site Scripting 简称为“CSS”,为避免与端叠成样式表的缩写"CSS"冲突,故又称XSS。反射性XSS;存储型XSS;DOM型XSS;XSS是一种发生在端浏览器端的漏洞,所以其危害的对象也是端用户。形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理,导致“精心构造”的字符输出在端时被浏览器当作有效代码解析执行从而产生危害。输入过滤:对输入进行过滤,不允许可能导致XSS攻击的字符输入;输出转义:根据输出点的位置对输出到端的内容进行适当转义;
PikachuXSS
weixin_48621644的博客
10-14 3142
小羊学安全 任重而道远~
PikachuXss的简单防御剖析
m123456wer的博客
04-20 177
PickachuXss的简单防御剖析
pikachu-XSS
koala_king的博客
01-16 231
pikachu
pikachu xss
08-19
Pikachu XSS(跨站脚本攻击)是一个开源的XSS漏洞扫描工具,用于帮助安全研究人员和开发者识别和修复网页应用程序中的XSS漏洞。它可以对目标网站进行扫描,寻找潜在的XSS漏洞,并生成报告以供分析和修复。 XSS漏洞...
Pikachu XSS
09-09
Pikachu XSS是一个用于学习和测试XSS(跨站脚本)漏洞的平台。它提供了一系列用于测试和巩固对自己的XSS漏洞学习的挑战。Pikachu XSS的挑战内容部分借鉴了一些博客文章的内容,这些博客文章提供了关于XSS漏洞的详细...
XSS闯关小游戏(13关)
w2vmany的博客
09-23 531
1.存在可控参数2.页面存在回显3.使用带有特殊字符的语句去测试,网站是否进行了实例化 ( 例如 '">123 )4.构造闭合,实现payload的逃逸。
XSSxss-labs靶场通关
qq_62987084的博客
09-22 814
xss-labs靶场通关详解
AIGC学习笔记—minimind详解+训练+推理
最新发布
m0_56569131的博客
09-27 123
这个开源项目是带我的一个导师,推荐我看的,记录一下整个过程,总结一下收获。这个项目的slogan是“大道至简”,确实很简。作者说是这个项目为了帮助初学者快速入门大语言模型(LLM),通过从零开始训练一个仅26MB的微型语言模型MiniMind,最快可在3小时内完成。降低学习LLM的门槛,让更多人能够轻松上手。MiniMind极其轻量,约为GPT-3的1/7000,适合普通个人GPU进行快速推理和训练。
【算法笔记】二分查找 红蓝染色法
weixin_51325964的博客
09-23 853
一个菜鸟的算法笔记
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值