XSS-8注入靶场闯关(小游戏)——第八关

最新推荐文章于 2024-04-22 10:47:06 发布
最新推荐文章于 2024-04-22 10:47:06 发布
阅读量830 收藏
点赞数 1
文章标签: xss javascript 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39330735/article/details/128879219
版权

1、话不多说:<script>alert(1)</script>

从这里可以看到,我们添加的语句,被添加到下方,作为一个连接,并且script被重写了

 2、既然可以做连接,那么直接:  javascript:alert(1)

这里反馈结果可以看到,字符串被 替换了

尝试大小写绕过JAvaScRIpt:alert(1),同样这里前端做了处理

先把内容全部小写之后才传入,所以无效。

3、进行html 实体编码注入

 首先将   javascript:alert(1)   进行转换,这里转换之后后台就不能识别这个内容,但是html能够识别,所以就不会被后台替换

 输入:转义之后的代码

十进制

(这个  #x是固定搭配,后面是对应得十进制ASCLL 码值——对应得是 j )

&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#49;&#41;

 十六进制

(这个  #x是固定搭配,后面两位 如 :6A是16进制的ASCLL码值——对应得是 j )

 &#x6A;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x3A;&#x61;&#x6C;&#x65;&#x72;&#x74;&#x28;&#x31;&#x29;

4、这里尝试十进制的

&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#49;&#41;

 5、单击连接通关

回顾:这里我们可以看到,我们传入的HTML实体字符串并没有被过滤,虽然我不认识,后台不认识,但是前端认识。点就完了。

 

 

W金刚葫芦娃W
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xss-labs-master.zip(xss注入游戏/靶场
03-21
`xss-labs-master.zip`包含了一个专门用于学习和实践XSS注入的通游戏或靶场,对于网络安全测试人员来说,这是一个极好的学习资源。 **XSS分类** 1. **存储型XSS**:也称为持久型XSS,攻击者将恶意脚本存入服务器...
XSS-labs解题笔记 第八到第十六
qq_63761746的博客
03-30 421
为什么要用转义字符串? HTML中<,>,&等有特殊含义(<,>,用于链接签,&用于转义),不能直接使用。这些符号是不显示在我们最终看到的网页里的,那如果我们希望在网页中显示这些符号,该怎么办呢?这就要说到HTML转义字符串(Escape Sequence)了。转义字符串(Escape Sequence)也称字符实体(Character Entity)。在HTML中,定义转义字符串的原因有两个:第一个原因是像“<”和“>”这类符号已经用来表示HTML标签,因此就不能直接当作文本中的符号来使用。为了在HTML
XSS-labs靶场实战(三)——第7-8
永远是少年
11-18 878
今天继续给大家介绍渗透测试相知识,本文主要内容是XSS-labs靶场实战第7-8。 一、第七 二、第八 三、于使用Unicode编码绕过的说明
XSS靶场闯关(xss-labs)
最新发布
小郑的博客
04-22 1913
对数据进行了是否含有http://做了判断,并对键字做了替换,把数据加到了a标签的href属性中,在属性中的数据可以考虑编码,并利用js的注释符//注释掉http://当前页面上有两个输出地方,一个输出到了h2标签,后台进行了实体编码,另一个输出到input标签的value属性,没有进行html实体编码,考虑闭合input标签。对on,script进行了替换,将数据加到了input标签的value属性中,没有进行实体编码处理,可以考虑a标签的href属性,可以直接写伪协议。
050 XSS小游戏——xss challenge
鸡蛋炒鸡蛋
03-05 5666
文章目录一:下载与部署二:通过程首页level-01level-02level-03level-04level-05level-06level-07level-08level-09 一:下载与部署 xss challenge是个有反射型xss的测试通挑战,一共有20。 下载地址:xss challenge (访问密码:donMkh) 下载之后解压,把得到的文件夹放在phpstudy的www文件夹下即可   二:通过程 这个是我自己的通方法,不一定很准确 首页 level-01 点击
XSS靶场8~12秘籍
博客
03-10 940
第八和前几有点不一样,多了一个友情链接 直接输入我们的代码<script>alert()</script>看一下 可以看出,我们输入的代码一开始没什么问题,script到a href 标签里被加了一个下划线, 因为是a标签我们可以直接用伪协议,伪协议里也有script这里我们用制表符绕过 在url里输入%09用制表符把script分开, 输入后我们的js代码就变成了这样 接下来点一下友情链接就可以直接弹窗 🆗了,...
C++ 字符串替换
C++
10-16 3685
C++ 替换字符串的字符
XSS靶场详解(1-18
cz020907020808的博客
06-07 2109
家人们,因为xss靶场比较简单,有些地方说的比较笼统,过很容易,只需要多尝试就可以,但是学好就难了!
xss challenge 下载 xss 实践通小游戏,以闯关的形式检验xss掌握程度。
04-27
xss challenge 下载 xss 实践通小游戏,以闯关的形式检验xss掌握程度。
xss闯关小游戏.zip
02-25
这是一款利用xss漏洞闯关小游戏,无需连接数据库,共20,非常适合网络安全攻防的初学者练习使用,使用及安装教程请看此链接,https://editor.csdn.net/md?articleId=104496122 欢迎各位小伙伴下载
WEB渗透学习-XSS-labs靶场
04-20
**XSS(跨站脚本攻击)学习指南:XSS-labs靶场详解** XSS,全称为Cross-Site Scripting,是网络安全领域常见的漏洞类型之一。它允许攻击者通过注入恶意脚本到Web页面中,进而对用户浏览器进行操控。XSS-labs是一个...
xss-labs靶场,直接放到www目录下直接用,超方便
09-24
XSS-Labs靶场提供了源码,这对于学习和研究XSS漏洞至重要。通过查看源码,用户可以了解漏洞是如何产生的,以及开发者在哪些地方没有进行适当的输入验证和编码转义。这对于提升Web应用的安全编程技巧大有裨益。 **...
xss-labs通参考(7-10)
m0_64603281的博客
11-13 174
xss-labs
SQL注入实验——web靶机第八(布尔型盲注)
qq_41554179的博客
03-15 1035
判断字符类型(无交互此为字符型) http://192.168.96.133/sqli-labs-master/Less-8/?id=1%20and%201=2 判断闭合(此靶机报错不显示任何东西,闭合为‘) http://192.168.96.133/sqli-labs-master/Less-8/?id=1%27 通过length函数判断数据库名长度 192.168....
XSS闯关游戏
qq_28468749的博客
03-01 308
测试payload查看网页源代码发现:和第五几乎一样,只不过第一个O成了大写,所以先试用。差异就是script、字母没有被过滤,大小写敏感,尖括号、双引号被编码了。查看网页源代码,比上一多了一个ref参数,仿写上一的payload注入网页并无变化。查看网页源码,尖括号、双引号、单引号都被编码了,但是单引号没有被编码,所以考虑。尖括号、双引号都被编码了,从下面href的值也可以看出script会被规避。在hackbar上进行输入值测试,查看网页源代码,是ua的参数值,抓包!是个成功且合法的链接了!
XSS闯关小游戏笔记
skynet_x的博客
10-29 1168
level1 — 无过滤 查看源码,没有任何的过滤。 直接在链接中构造最基本的XSS弹窗即可,弹窗内容为123. <script>alert(123)</script> level2 — input中未设置过滤 查看源码,发现在echo输出中有一个函数htmlspecialchars() htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。可以看成是对特定字符的过滤。 预定义的字符是: & (和号)成为 & " (双引号)成为 "
xsschallenge通攻略详解
一个努力学习网安的小牛马
11-12 542
简述xsschallenge挑战攻略ps:终极测试代码IPT</查看源代码CTRL+U。
Xss小游戏攻略带解释
sirius的博客
08-28 5446
Xss小游戏攻略 实验环境:xss小游戏源码+phpstudy 源码地址:https://files.cnblogs.com/files/Eleven-Liu/xss%E7%BB%83%E4%B9%A0%E5%B0%8F%E6%B8%B8%E6%88%8F.zip 实验步骤:启动phpstudy,浏览器访问127.0.0.1/xss/后提示点击图片进入第一。 第一:输入的变量直接被输出,直接构造payload即可。 http://127.0.0.1/xss/level1.php?.
XSS-labs 1-13攻略
qq_57861415的博客
01-31 1430
xsslabs 1-13攻略
xss-labs-master靶场
09-29
xss-labs-master靶场是一个用于学习和实践跨站脚本攻击(Cross-Site Scripting,简称XSS)的实验环境。可以从GitHub上下载该靶场的源码,地址是https://github.com/do0dl3/xss-labs。在这个靶场中,你可以找到各种XSS的实例和挑战,通过实践来提高对XSS攻击的理解和防御能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值