ctf之web小白必备JavaScip知识

最新推荐文章于 2022-12-07 15:59:42 发布
最新推荐文章于 2022-12-07 15:59:42 发布
阅读量384 收藏
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48511129/article/details/113599712
版权

JavaScript的代码嵌入在HTML里,直接在客户端的浏览器上执行,属于前端语言。
大多数的xss代码都是使用JavaScript语言编写的。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>javascipt</title>
</head>
<body>
  <script>
       document.write("hello,world!");
  </script>
</body>
</html>

所有的JavaScript语句必须包含在标签中。
每行JavaScript语句结尾最好加分号。
document是个对象,指当前网页,wrire是其动作。
document.write就是让当前网页执行write动作,将()里内容写入到页面中去。
基本的Javascipt语法结构

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登入框分析</title>
</head>
<body>
  <script>
      var name="hack";   //定义变量name,将hack赋值给变量
      document.write("<h1>hello,"+name+"</h1>");
  </script>
</body>
</html>

可以通过javascipt输出html标签。
javascript中的变量必须用var语句定义。
要拼接多个变量或者字符串,采用+而不是.
单行注释使用//,多行注释使用/* … */

alert是javascript的弹框语句。
单击按钮时,触发事件,执行javascript代码

<form>
    <input type="button" value="请单击此处" onClick="alert('要弹出的内容')">
 </form>

javascript处理的常见事件
onClick:用户单击了类似按钮这样的窗体元素后触发
onError: 加载图像过程中发生错误是触发
onload:文档、图像或对象完成加载时触发
onsubmit:用户提交窗体时触发

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登入框分析</title>
</head>
<body onLoad="alert('加载成功')">
   <img src="cjm.jpg" onError="alert('加载失败')">
</body>
</html>

加载外部的js文件和外部文件

<script src="/js/test.js"></script>
<script src="URL"></script>

document对象常用属性

document.cookie:显示当前页面的cookie
<script>alert(document.cookie);</script>
document.location:显示当前页面的URL
<script>alert(document.location);</script>

location.href实现页面跳转

使当前页面整体跳转到另一个页面上去
<script>
    alert(document.location);
    location.href="http://www.baidu.com";
</script>

confirm语句
显示确认选择对话框,返回true或false

<script>
   if(confirm("4>2吗?")==true)
   {
        document.write("正确");
   }
   else
   {
        document.write("错误");
    }
</script>
g1ory.
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
JSCIPOpt:SCIP优化套件的Java接口
05-25
该项目提供了从Java编程语言到求解器软件的接口。 如何使用JSCIPOpt建立模型 examples文件夹中提供了几个示例。 它们显示了界面的某些功能,并且可以用作编写更复杂代码的入口。 使用该接口时,始终需要执行以下步骤: 有必要添加 import jscip.*; 到Java文件的开头。 这将导入所有需要的类以使用接口。 创建一个求解器实例,并使用初始化内部C数据结构 Scip scip = new SCIP(); scip.create("Example"); 这等效于在C中调用SCIPcreate(&scip)和SCIPcreateProbBasic(scip, "Example") 。 最重要的类是Scip.java,Variable.java,Constraint.java和Solution.java。 它们代表C数据结构SCIPSCIP_VAR , SCIP
[红明谷CTF 2021]JavaWeb
Mrs_H的博客
04-08 1985
[红明谷CTF 2021]JavaWeb 一.前言 好像是已经很久不刷题了,因为最近一直在忙着复习高数和专业课,拿不出太多的时间来打CTF。但是这次也总算是找到了点时间,做道java的简单题来放松一下,不能总是学那些书本上的知识了,感觉学多了也会烦。 二.正文 这道题目上来就让我们访问/login目录,所以我们直接访问试试看。 服务器那边又让我们访问/json的路径,但是我们如果用post方法对服务器进行访问的话,服务器又会返回另外的结果。 这里的登陆失败,就表明我们需要进行身份验证,我们尝试输入一对用
ctfshow web入门(java)
qq_53263789的博客
07-19 774
ctfshow
Java web总结(一)
Momeory的博客
10-08 907
在学习Web应用程序客户端界面设计时,我们已经知道组成一个基本的Web应用程序需要Web服务器、Web客户端浏览器、HTTP协议以及静态HTML文件。        ➣ Web服务器:接收客户端请求,然后向客户端返回一些结果;        ➣ 浏览器:允许用户请求服务器上的某个资源,并且向用户显示请求的结果;        ➣ HTML:告诉用户浏览器怎么向用户显示内容;
Java安全-Java In CTF([红明谷CTF 2021]JavaWeb、[红明谷CTF 2021]JavaWeb
Love&Share
05-05 2213
文章目录[RoarCTF 2019]Easy Java[红明谷CTF 2021]JavaWeb [RoarCTF 2019]Easy Java 存在文件下载,尝试去读 WEB-INF/web.xml,get 传参发现一直失败 在 burp 中改为 post 传参,可以正常下载文件 只要再去读 class 文件即可 成功下载 class 放到 idea 中,拿到 flag [红明谷CTF 2021]JavaWeb 题目提示 /login 目录,访问提示 /json 访问 /json 跳回到 /lo.
CTF工具之WEB.zip
10-07
该工具包中含有17年永久火狐浏览器,抓包工具,SQL注入工具,webshell,网站后台扫描工具,代码审计系统等
CTF工具之御剑后台扫描(web).rar
09-16
此工具用于学习交流用途,切勿用于其它用途。
CTF工具之antsword(web).rar
09-16
此工具用于学习交流用途,切勿用于其它用途。
CTF Web各种题目的解题姿势
07-27
课时6:CTF SQL基于约束注入原理与利用12'22 课时7:SQL注入基于时间注入的原理与利用50'13 课时8:SQL基于时间盲注的Python自动化解题22'45 课时9:Sqlmap自动化注入工具介绍23'47 课时10:Sqlmap自动化注入...
国科大web安全中期CTF.pdf
11-22
国科大web安全中期CTF
攻击JavaWeb应用1-9[JavaWeb安全系列]
04-02
攻击JavaWeb应用1-9[JavaWeb安全系列]攻击JavaWeb应用1-9[JavaWeb安全系列]
ctfshow java
SopRomeo的博客
01-27 1047
web279 这个编号有点奇怪,搜搜 漏洞讲解 里面有payload直接用,我不知道啥原因echo FLAG flag不出来 因为这是动态靶机,直接看/proc/self/environ %{ #a=(new java.lang.ProcessBuilder(new java.lang.String[]{"cat","/proc/self/environ"})).redirectErrorStream(true).start(), #b=#a.getInputStream(), #c=new java.
[红明谷CTF 2021]JavaWeb buu刷题记录
weixin_51458899的博客
04-08 1757
映入眼帘的报错,然后搜一下知道是spring的洞 有个登录,然后提示json,又看到cookie cve-2020-11989 Apache Shiro 身份验证绕过漏洞 (CVE-2020-11989) - 腾讯安全玄武实验室 (tencent.com) Apache Shiro权限绕过漏洞分析(CVE-2020-11989) (qq.com) 参考这两篇,得出两种攻击方式 payload1: 双编码绕过 / -> %2f ->%25%32%66 payload2: 分号 使用payl
java web 开发_真正的从零开始学JavaWeb开发(一)--什么是Web开发
weixin_39809175的博客
02-16 147
要学习JavaWeb开发,首先要知道什么是javaweb开发。Java:简单来说,Java是一门语言,是一门和计算机交流的语言。Webweb(World Wide Web)即全球广域网,它是一种分布式图形信息系统。简单来说就是 浏览器上的一个个网站。Java Web:是用Java技术来解决相关web互联网领域的技术总和。学习JavaWeb开发,就是学习用java以及其他相关技术在浏览器上开发出一...
CTFshow刷题日记-WEB-JAVAweb279-300)Struts2全漏洞复现,Java漏洞复现
热门推荐
Love&Share
10-12 1万+
全部题都是struts2框架漏洞 Struts2是用Java语言编写的一个基于MVC设计模式的Web应用框架 关于struts2漏洞,vulhub都有环境并且给出了漏洞原理和poc GitHub项目地址:https://github.com/vulhub/vulhub/tree/master/struts2 判断网站是否基于Struts2的方法链接 通过页面回显的错误消息来判断,页面不回显错误消息时则无效 通过网页后缀来判断,如.do .action,有可能不准 如果配置文件中常数extension的值
CTFSHOW web入门 java反序列化篇(更新中)
羽的博客
12-07 4182
ctfshow web入门 java反序列化篇
[RoarCTF 2019] web题-Easy Java
BROTHERYY的博客
07-10 406
复现环境:buuoj.cn 打开环境,最开始用弱口令进去了,还心想比较简单,后来发现错了,然后点击help发现有报错 访问这个地址 tips:WEB-INF知识WEB-INF主要包含一下文件或目录: /WEB-INF/web.xml:Web应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则。 /WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件中 /WEB-INF/
ctf.show web 前台JS绕过
Sk1y的博客
05-06 838
firefox的开发者工具
请教我ctf竞赛web方向的知识
最新发布
07-15
CTF 竞赛中的 Web 方向主要涉及到 Web 安全的相关知识和技术。以下是一些常见的 Web CTF 题目类型和相关知识点: 1. 基础知识: - HTTP 协议:了解 HTTP 请求和响应的基本结构,常见的 HTTP 方法和状态码,以及常用的请求头和响应头。 - HTML、CSS 和 JavaScript:理解基本的前端开发知识,包括页面结构、样式和交互等。 2. Web 漏洞: - XSS(跨站脚本攻击):了解反射型、存储型和 DOM 型 XSS 攻击,学会如何防范和利用这些漏洞。 - CSRF(跨站请求伪造):掌握 CSRF 攻击的原理和防御方法。 - SQL 注入:了解 SQL 注入的原理、不同类型的注入攻击和防御策略。 - 文件上传漏洞:学会利用文件上传漏洞执行恶意代码,并了解如何防止上传漏洞。 - 文件包含漏洞:了解文件包含漏洞的原理和利用方式。 - SSRF(服务器端请求伪造):掌握 SSRF 攻击的原理和应对方法。 3. Web 安全工具: - Burp Suite:熟悉使用 Burp Suite 进行请求拦截、修改和重放,进行 Web 安全测试。 - SQLMap:学会使用 SQLMap 进行自动化的 SQL 注入漏洞检测和利用。 - XSS 攻击工具:了解常用的 XSS 攻击工具,如 BeEF、XSStrike 等。 4. Web 框架和技术: - 常见的 Web 框架:了解常见的 Web 框架(如 Django、Flask、Express 等)的基本原理和安全特性。 - NoSQL 注入:了解 NoSQL 数据库中的注入漏洞和防御策略。 - RESTful API 安全:学习如何保护 RESTful API 免受常见的攻击,如身份验证、访问控制等。 除了上述知识点,还可以通过参加线上的 CTF 竞赛、阅读相关的 Web 安全文章和书籍来不断提升自己的技能。希望这些信息能对你有所帮助!如有更多问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

g1ory.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值