CTFHub技能书解题笔记-XSS-反射型

最新推荐文章于 2024-05-01 23:27:26 发布
最新推荐文章于 2024-05-01 23:27:26 发布
阅读量1.5k 收藏 1
点赞数 1
分类专栏: XSS CTFhub 文章标签: xss 前端 网络安全 unctf web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43006864/article/details/122128408
版权
CTFhub 同时被 2 个专栏收录
28 篇文章 6 订阅
订阅专栏
XSS
1 篇文章 0 订阅
订阅专栏

打开题目

 

来个最常规的试试。

好像没思路了。看到第二行是说发送url去bot,第一行是你的名字。那我试试第二行放url。

返回了successfully。

然后没思路了。去看了大佬的wp,好像用到了xss平台,注册一个试试。

XSS平台 - (支持http/https)XSS Platform

 这里我用的这个。

开始测试。注册完成后,创建项目。

 

 

这里随便√,默认的就够用了。

这里我们选择红框里的这一条,进行测试。

就贴在?name=后面就可以了。

 

看看效果。有返回。

展开看看。

拿到了flag。

这道题,其实不难,但是,我是真没想到会用到xss平台,也算解锁了新姿势,大家也可以试试。

 

 

大西瓜的安全之路
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
反射xss攻击流量数据包
07-18
反射xss攻击流量数据包
jQuery-with-XSS 检测jQuery版本是否存在XSS漏洞
09-29
网站中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完全不受其影响。
CTFHub——XSS
2302_79119987的博客
03-28 596
"fangfa('可控点')"> 使用 ” 闭合:与上题解题思路一致,用插入语句后用xss平台找到flag,插入语句后发现无回显(模拟黑客发送xss到服务器),查找源码,发现插入成功。将xss代码输入测试栏,发现url地址有变化,将url地址复制到url地址栏,上传成功后在xss平台查看cookie。尝试注入,查看源码发现过滤空格,url地址不对,使用/**/过滤。
xss注入讲解ppt.pptx
08-10
三种xss基础知识的讲解
CTFHub XSS+文件上传 WriteUP
tangshuangsss的专栏
07-05 415
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介CTFHub网络安全工程师提供网络安全攻防技能培训、实战、技能提升等服务。「赛事中心」提供全网...
CTF之旅(CTFHub技能树+详细Write up+已完结)(密码口令+XSS
weixin_51563603的博客
08-30 1440
目录其他CTFHub题目WriteUP地址前言密码口令弱口令 其他CTFHub题目WriteUP地址 本来不想分段的,但是后来发现要写的东西太多了,就分了几段写,大家见谅 1.web前置技能(已完结) 2.信息泄露(已完结) 前言 这里收录了我在CTFHub中做的题目和自己写的一些想法,首先我想稍微讲下个人经历,本人在今年寒假的时候初识CTF ,当时还在攻防世界上做了一些题目,但是后来有人跟我说攻防世界的题目比较老,建议我换个网站(这边没有诋毁攻 防世界的意思,每个人有每个人的想法),后来也因为学业较忙且
CTFHUB——反射XSS详解
wuuconix's blog
09-01 7343
背景 本来看ctfhub上有xss的题目,打算好好学习一波,结果点开一看,只有一道题2333。 便现在dvwa上熟悉了一波。所谓反射是相对于存储来讲的。 如果黑客的xss注入是通过某种方式储存到了数据库中,那就是存储的,这种xss的特点就是每次访问该页面都会收到xss攻击,因为js语句已经放在数据库里了。 而反射xss则不是这样,每次触发只能手动输入和点击才能触发。 我认为xss产生的原因主要是对便签审查不严格造成的。 dvwa xss例题 下面写一下dvwa中的三种难度的反射xss。 <?
CTF特训营》——跨站脚本攻击(XSS
PICACHU+++的博客
07-15 2168
跨站脚本攻击简称XSS,是一种网站应用程序漏洞,是代码注入漏洞的一种,攻击者可以通过这个漏洞向网页中注入恶意代码,导致用户浏览器加载网页、渲染HTML文档时执行攻击者代码。反射XSS,存储XSS,DOMXSS输出在HTML属性中,输出在CSS代码中,输出在JavaScript中.......................................
ctf xss利用_CTF小白入门- 跨站脚本攻击
weixin_39984952的博客
02-23 1050
跨站脚本攻击(Cross Site Scripting , XSS)是指攻击者巧妙的将恶意代码注入到网页中,当用户浏览器中加载网页、渲染网页时,就会执行的恶意代码的过程。经常遭到XSS漏洞的典应用有 邮件、论坛、留言板等。新浪微博、百度贴吧也曾遭受过 XSS攻击。对内容有不理解的小伙伴或发现错误的小伙伴,可以私信和我联系,共同探讨。如果您喜欢,麻烦点个赞,(づ ̄ 3 ̄)づXSS可以造成哪些危害?...
CTF-XSS
H2223的博客
07-26 586
链接https提取码6elk使用phpstudy运行。
CTFHUB-WEB-XSS-DOM反射
weixin_49539962的博客
08-08 249
但是在输入xss代码是要注意,我们可控的是“CTFHUB is very niubility”这句话,需要把这句话闭合后插入xss代码才能生效。和反射是一样的,使用xss platform。
anti-xss:AntiAntiXSS | 通过PHP防止跨站点脚本(XSS
05-02
:Japanese_secret_button: 反XSS “跨站点脚本(XSS)是一种通常在Web应用程序中发现的计算机安全漏洞。XSS使攻击者能够将客户端脚本注入到其他用户查看的网页中。跨站点脚本漏洞可能被攻击者用来绕过相同原产地策略...
Bug Bounty Tip - i春秋Self-XSS变废为宝的奇思妙想
04-30
Bug Bounty Tip - i春秋Self-XSS变废为宝的奇思妙想 i春秋技术分享,将self-xss利用扩大化,奇思妙想可以借鉴。
xpt:XPT-XSS多色测试仪
01-31
XPT-XSS多色测试仪 XPT是XSS多语言测试平台,可在不到1分钟的时间内在30多个环境中测试XSS多语言。 该项目使用Google Chrome无头模式来测试XSS有效负载的执行情况。 在Debian上安装 # Install Google Chrome # ...
findom-xss:一个基于DOM的快速XSS漏洞扫描程序,非常简单
04-22
FinDOM-XSS FinDOM-XSS是一种工具,可让您快速找到可能的和/或潜在的基于DOM的XSS漏洞。安装$ git clone https://github.com/dwisiswant0/findom-xss.git --recurse-submodules依赖项: 用法要在目标上运行该工具,...
前端安全XSS和CSRF攻击的防御策略
最新发布
2301_79507619的博客
05-01 351
**使用HTTP头部**:设置`Content-Security-Policy` (CSP) 响应头可以限制资源(如脚本、图片等)的加载来源,有效阻止外部恶意脚本的执行。- **编码输出**:对输出数据进行HTML编码,确保任何输出到HTML页面的内容都是安全的。- **使用CSRF令牌**:在客户端请求时发送一个随机生成的令牌,服务器进行验证令牌的有效性。- **验证Referer和Origin头部**:通过检查HTTP请求的`Referer`或`Origin`头部来验证请求是否来自合法的源。
判断前端入参是否空否则提示前端写法
qq_39306234的博客
04-28 255
前端先声明一个变量,用于alert判断。在templeat中定义一个提示语句。然后在点击事件时判断一下是否展示。
vue实现录音并转文字功能,包括PC端web,手机端web
byebukesi的博客
04-26 544
不止vue,不限技术栈,vue2、vue3、react、.net以及原生js均可实现。
2024 XYCTF Web 方向 wp 全解
qq_39947980的博客
04-27 1026
XYCTF 2024 Web 方向全解
ctf python
09-02
CTF(Capture The Flag)是一种网络安全竞赛形式,参赛者需要在网络安全领域的各个方面展示技术和解决问题的能力。Python作为一种广泛应用于CTF竞赛的编程语言,可以用于编写各种类的脚本和工具来解决CTF挑战。你引用的内容包含了关于ASCII编码和字符操作的代码示例,这些示例展示了Python编程中与字符和编码相关的一些常用操作方法。你可以使用这些示例代码来进行字符反转,倒序输出等操作。同时,你还提到了CTF中使用Python编写的代码示例,但是你并没有提供具体的问题或需要解决的内容,请提供更多的细节,我将尽力帮助你解答。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [【CTF】Python 常见基础实例总结笔记](https://blog.csdn.net/vanarrow/article/details/107985747)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大西瓜的安全之路

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值