网安学习日志 XSS靶机训练(xss-labs-master)(1-10)

最新推荐文章于 2024-04-16 16:13:04 发布
最新推荐文章于 2024-04-16 16:13:04 发布
阅读量5k 收藏 4
点赞数
分类专栏: 学习日志 文章标签: xss 安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41819426/article/details/122580866
版权

1.第一关

在这里插入图片描述
页面中我们并没有看到输入框,但是我们看到url中可以进行name值的修改。
在这里插入图片描述
看起来应该没有任何的过滤,我们直接输入语句尝试:

<script>alert(1)</script>

在这里插入图片描述
这里还可以用很多方法,以下列举一些常用的方法:

<input type=“text” onmouseover=alert(1)>
<a href="javascript:alert(1)">a</a>
<a onmouseover=“javascript:alert(1)”>a</a>
<image src=1 onerror=alert(1)>
<iframe src=‘javascript:alert(1)’>
<iframe onload=alert(1)>
<svg onload=alert(1)>

2.第二关

在这里插入图片描述
我们从url中发现还是明显的get传参,level2 多增加了搜索框。
我们依旧通过基本语句尝试一下。
在这里插入图片描述

发现并没有什么作用,我们查看一下网页的源码:

最低0.47元/天 解锁文章
若只若初
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss-labs-master源码
07-06
20关xss靶场练习,帮助了解关于xss
XSS-labs1-20关通过手册
rumil的博客
09-21 1312
ng-include指令一般用于包含外部HTML文件,ng-include属性的值可以是一个表达式,返回一个文件名,但是默认情况下,包含的文件需要包含在同一域名下,也就是要调用同一域名下的其他页。通过代码发现,本关卡有两个参数:arg01、arg02,当我们发送的时候,发现他们是会互相拼接起来的,那么我们就容易想到这里会不会就是突破口,发现这两个参数是在embed上,embed标签定义嵌入的内容,并且做了尖括号过滤,那么我们可以加入一个属性进去,生成恶意代码。被HTML实体编码了,成了实体字符。
xss-labs-master过关心得
Ays.Ie的博客
11-03 1793
xss-labs-master通关心得
浅谈XSS简单漏洞xss-labs-master(初级),2024年最新双非本科字节跳动全面试题分享
最新发布
m0_60147147的博客
04-16 384
【代码】浅谈XSS简单漏洞xss-labs-master(初级),2024年最新双非本科字节跳动全面试题分享。
xsslabs第五关
weixin_63750160的博客
03-01 411
所以我们用javascript:在:后面写入Javascript的代码但是这通常是用于url。根据源码知道过滤掉了一些关键词。
[全]xss-labs level-5 解题详析
等风来
08-03 2295
以上为[全]xss-labs level-5 解题详析,后续将分享[全]xss-labs level-6 解题详析。我是秋说,我们下次见。
xss-labs靶场通关
m0_70349048的博客
02-27 978
我们发现,当我们更改name等于不同的值时,有不同的返回结果,因此在这里可能有xss漏洞然后直接进行测试,在name后面加入xss攻击语句。
xss-labs靶场一到十关
zxcvbnm123456x的博客
06-26 741
xss的靶场地址为:http://test.ctf8.com/需要先打开phpstudy才能进行练习。
xss-labs-master
qq_60905276的博客
12-26 1006
1. 没有限制,直接输入<script>alert(/xss/)</script> 2.
xss-labs-master;1-9关;内含靶场;更好了解xss
xiaochenhang的博客
08-22 495
alert(1)
xss-labs-master靶场速通教学(1-13)
m0_69151365的博客
03-04 988
这个靶场比较基础,主要就是一些简单的防御规则,我们可以使用大小写、双写、伪协议、编码都能解决。练好这个靶场之后可以去试试xss.haozi.me靶场,见见更多的类型。
xss-labs-master.zip(xss注入通关游戏/靶场)
03-21
经典的xss注入通关游戏,搭建简单。适合全测试人员
xss-labs-master.rar
05-09
xss-labs-master靶机资源,有关于xss漏洞攻击专项练习,一共有二十关,也是小白的看门砖吧!
xss-labs.zip
03-18
xss-labs是一个站,其中包含了20个含有XSS漏洞的页,用于学习XSS
WEB渗透学习-XSS-labs靶场
04-20
XSS-labs为WEB渗透中跨站脚本攻击专项练习靶场,内含多种攻击方式,采用关卡制,由易到难,适合刚接触该漏洞的新手巩固练习
靶场xss-labs-master第1-6关通关过程
qq_63175125的博客
11-22 101
进入靶场:(1)打开phpstudy(2)在页中输入127.0.0.1,选择 xss-labs-master靶场,出现以下页面说明进入成功!开始做题!
xss靶场过关(1-10)
weixin_62884797的博客
03-09 425
首先,我们要了解什么的xss漏洞, xss,通俗的来讲,就是在HTML页面中,插入一些语句,使得后台能够运行我们插入进去的语句,从而攻击别人 第一关,这一关最为简单,只是去寻找最简单的交互点。 第一个交互点那当然是URL中了。 首先,我们要如何插入进去这条语句。要知道在h5中,绝大多数都是闭合的,也就是一对尖括号。但我们要是在插入点中输入一个">,这样就会使得程序认为已经闭合,后面的便在执行。 我们这时在插入一个js弹窗,便成功的攻击成功。 第二关 第二关这里,多出来一个输入框,这
xss-labs通关攻略教程(level1~level 10)
m0_55854679的博客
07-23 4148
level 1 观察题目,发现用户名在url处被提交,且输出用户名的长度为4 2. 查看源码,发现参数未进行任何过滤,猜测为反射型xss 3. 修改name参数为<script>alert("xss")</script> level 2 观察页面提示,发现依然为反射型xss,但是与上一关不同之处在于有了搜索框。 尝试添加与上一关相同的参数 查看源码,发现<和>被HTML字符实体化为&lt、&gt,"被HTML字符实体化为&quot .
浅谈XSS简单漏洞xss-labs-master(初级)(1),2024年最新从入门到精通的全进阶学习笔记整理
2401_83974087的博客
04-14 856
还有兄弟不知道全面试可以提前刷题吗?费时一周整理的160+全面试题,金九银十,做全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
xss-labs-master靶场
09-29
xss-labs-master靶场是一个用于学习和实践跨站脚本攻击(Cross-Site Scripting,简称XSS)的实验环境。可以从GitHub上下载该靶场的源码,地址是https://github.com/do0dl3/xss-labs。在这个靶场中,你可以找到各种关于XSS的实例和挑战,通过实践来提高对XSS攻击的理解和防御能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值