反射型XSS漏洞练习与总结

最新推荐文章于 2024-08-27 15:44:23 发布
最新推荐文章于 2024-08-27 15:44:23 发布
阅读量2.3k 收藏 12
点赞数 4
本文为博主原创文章,未经博主允许不得转载,未授权转载为侵权行为,违反法律。
本文链接:https://blog.csdn.net/qq_36869808/article/details/82734524
版权

0x00 前言

对自己学习xss所遇到的情况以及练习记录,以及自己的感悟进行一个总结。

0x01 DVWA

1.low

无过滤。
https://blog.csdn.net/qq_36869808/article/details/82726751

2.Medium

大小写绕过
https://blog.csdn.net/qq_36869808/article/details/82731762

3.High

img绕过
https://blog.csdn.net/qq_36869808/article/details/82731766

4.impossible

不可绕过
https://blog.csdn.net/qq_36869808/article/details/82734199

5.总结

做了很多关于xss的题目,突然发现,DVWA里的xss简直是简单的不能再简单了。所以做了DVWA一定要看看其他的题目。这样才能进步,比如说下面的游戏网站就是你值得拥有的。

0x02 xss-quiz.int21h.jp

Stage #1

无过滤
https://blog.csdn.net/qq_36869808/article/details/82734685

Stage #2

闭合绕过
https://blog.csdn.net/qq_36869808/article/details/82735511

Stage #3

抓包绕过
https://blog.csdn.net/qq_36869808/article/details/82736874

Stage #4

抓包绕过
https://blog.csdn.net/qq_36869808/article/details/82737734

Stage #5

长度绕过
https://blog.csdn.net/qq_36869808/article/details/82740780

Stage #6

附加属性绕过
https://blog.csdn.net/qq_36869808/article/details/82744996

Stage #7

附加属性绕过
https://blog.csdn.net/qq_36869808/article/details/82745531

Stage #8

伪协议绕过
https://blog.csdn.net/qq_36869808/article/details/82753415

Stage #10

domain过滤
https://blog.csdn.net/qq_36869808/article/details/82760160

Stage # 11

%09;绕过
https://blog.csdn.net/qq_36869808/article/details/82776098

Stage # 15

<svg>绕过,16进制编码
https://blog.csdn.net/qq_36869808/article/details/82779362

Stage # 16

<svg>绕过,unicode编码
https://blog.csdn.net/qq_36869808/article/details/82779659

王嘟嘟_
关注
XSS漏洞(综合练习)——渗透day09
qq_62716256的博客
09-06 688
XSS漏洞(综合练习)——day09x
DVWA靶场XSS三种类漏洞练习
c_programj的博客
05-14 1981
DVWA靶场XSS三种漏洞练习反射XSS(非持久性)【low】【Medium】【High】【Impossible】存储XSS(持久性)【Low】【Medium】【High】【Impossible】DOM【Low】【Medium】【High】【Impossible】总结XSS漏洞常见函数: 反射XSS(非持久性) 反射 【low】 后台码源: <?php header ("X-XSS-Protection: 0"); // Is there any input? if
XSS漏洞实验
goldfish8848的博客
06-23 1100
本篇为xss漏洞实验练习练习网址来源于网络。
渗透测试基础-反射XSS原理及实操
2401_84618514的博客
07-29 393
XSS的防护方法和注入也一样,过滤为主,将尖括号和单双号引号都进行实体编码了,这里就不存在XSS了。《最好的防御,是明白其怎么实施的攻击》网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
xss平台搭建源码,xss漏洞练习
06-03
xss平台搭建源码,用于练习xss漏洞,适用于网络安全学科的爱好者和学生,下载后解压缩到www目录下,需要将xss-sql导入数据库,并更改一下源码部分内容,很容易。最后要配置伪静态文件。
8月2日xss漏洞分析训练
slc3315的博客
08-02 2061
题记: 今天老师也出了三道题,但是对于XSS而言题目数量少,较难组织成规律,因此找了这个在线网址可实现在线做题。 思路: 做题以前先理顺一下思路,首先传统语句测试 //script脚本风格 <script>alert(1)</script> <script>window.data = alert(1)</script>(意义不大) //img标签 <img src="" onerror=alert(1);> //href链接 <a hre
反射 xss靶场练习
09-27
反射XSS靶场练习中,可以使用以下步骤来进行练习: 1. 首先,找到一个含有反射XSS漏洞的目标网站。 2. 在目标网站的输入框或URL参数中插入恶意代码,...5. 总结练习结果,了解反射XSS漏洞的危害和防范措施。
pikachu漏洞练习平台使用笔记-XSS反射XSS
donghongzhe的博客
05-24 1806
在表单里直接输入xss语句,会发现限制字符长度,我们可以审查元素,把长度20改大一点,就恶意输入更多字符了,但是每次刷新后还会重新变为20,所以还是直接在网址框里输入吧 我们输入一个简单的XSS语句 <script>alert("XSS")</script> 发现可以解析,即存在XSS漏洞 接下来,我们简单利用一下这个反射XSS漏洞,来获取用户cookie 我们需要一个接收cookie的服务器(127.0.0.1:80),来接收受害主机的cookie 下..
XSS漏洞的测试与利用
m0_53798300的博客
05-30 401
XSS漏洞的测试与利用(本实验基于DVWA实验平台完成) 一、准备工作: 下载并安装PhPStudy V8.0集成环境windows64位(按需下载,下载地址https://www.xp.cn/),下载完成解压后如图所示: 下载DVWA工具包,下载完成后将其放在PhPStud安装目录下的WWW文件夹内,如图所示: 注: 安装完成后现在PhP中启动Apache和MySQL,可能会遇到MySQL启动不起来,原因可能是在自己的电脑上已经装有一套MySQL,两个端口发生冲突。以下是最便.
web漏洞XSS_TEST漏洞实践练习代码
04-25
XSS分为三种类:存储XSS反射XSS和DOMXSS。 1. 存储XSS:攻击者将恶意脚本存储在目标网站的数据库中,当其他用户访问该页面时,脚本会被执行。这种类XSS危害较大,因为攻击持续时间长,影响范围广。...
皮卡丘(pikachu)靶场XSS漏洞练习
criminal_1的博客
02-06 505
皮卡丘(pikachu)靶场XSS漏洞练习
反射xss攻击代码.rar
05-14
xss攻击(java实现反射xss攻击,发送链接诱骗点击,编写服务端获取客户端的cookie信息)
XSS练习平台
07-17
XSS练习平台、XSS练习平台XSS练习平台XSS练习平台XSS练习平台XSS练习平台
XSS漏洞利用 + owasp练习
bin789456的博客
10-25 574
写在前面 靶场链接:https://github.com/do0dl3/xss-labs
反射xss漏洞(DVWA靶场)
qq_37834406的博客
02-10 1083
环境 靶机:dvwa 测试工具:BurpSuit,HackBar, Netcat XSS 漏洞产生的原因,和 SQL 注入有“异曲同工之妙”,所以 XSS 又称作“ HTML 注入”,都是没有对用户输入的内容,进行检查过滤而导致站点被恶意利用,或者服务器数据被窃取,那么如何发现 XSS 漏洞的存在呢?
pikachu漏洞练习第二章节反射xss(get,post)练习收获
最新发布
kaka6764的博客
08-27 1026
观察输入错误回答时弹出的提示,我们可发现弹出的提示中会把我们输入的内容(比如这里输入了错误答案x)连带提示信息一起输出在网页上。这样对比可知,利用我们保存下来的网址,我们成功利用网页xssget漏洞制造了一个执行脚本,用户点击我们保存的网址并不会像正常的网页一样显示网页提示,而是显示我们设定好的提示xssget。先在网页输入内容测试可见在输入空数据时网页提示和输入错误数据时网页提示,当根据网页提示输入kobe时,网页返回提示和图片。提交后可见网页弹出提示框,内容为xssget,即我们输入的代码内容。
反射XSS漏洞
希望我的博客,能帮上你解决学习中工作中所遇到的问题
05-25 1652
反射XSS漏洞 原理:利用javascript语句,进行XSS拼接网页的HTML代码,一般而言我们是可以拼接出合适的HTML代码去执行恶意的JS语句(总结xss就是拼接恶意的HTML) 1.我们输入 <script>alert(1)</script> 在框内 寻找输出点,发现在源代码里找到了两个输出点,但是第一个输出点 它把<>实体化了,没有<>的显示 但是第二个就不一样了 ![在这里插入图片描述](https:/它的<>都没有被实体化,存
反射XSS
jessysong的博客
08-12 2147
参考:http://netsecurity.51cto.com/art/201311/417201.htm
XSS的攻关练习
黑面狐
08-21 6140
从论坛找到的一个XSS练习源码: 于是开始攻关之路,每攻关一次就更新一下: 第一关: 最简单的直接输入一个标签就直接被执行了,说明完全没有过滤标签。 然后看看源码,看看需要怎样才能通关。 那就是直接调用windows.alert()这个函数就可以通关。 简单明了。 192.168.23.248:93/level1.php?name=window.alert()
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王嘟嘟_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值