level 3

已于 2023-05-16 10:44:56 修改
阅读量57 收藏
点赞数
分类专栏: XSSlabs通关 文章标签: 网络安全
于 2023-05-16 10:32:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_49056549/article/details/130368855
版权
文章探讨了一种针对网页中value实体化的问题,通过在input中插入onclick等JavaScript事件来绕过实体化,以执行预期的代码,如onclick=javascript:alert(1),以此来测试和解决问题。
摘要由CSDN通过智能技术生成

老样子,先来一波经典,结果果然没啥用

接着我们试一下第二关的思路

结果发现也没啥用,检查一下看看啥情况?

看起来似乎也没啥问题啊,难道value这里也想第二关似的被实体化了?我们去看看源码验证一下猜想

结果果然和我们想的一样,那咋办呢?

没事,我们还有办法

我们输入这样的语句:' onclick ='javascript:alert(1)'//

这语句啥意思呢,它不是用函数将我们的js代码实体化了吗?(实体化简单点理解就是将一些像>,<,&等这样的特殊字符进行转义),那我们直接输入一个让他们随便区实体化语句都不会变的不就行了,于是我们就可以在input里面先用单引号闭合前面的value然后写入像onclick,onmouseover等等这样的属性,再在里面写入像javascript:alert(1)这样的语句,看看结果

雪山奇人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
level3
qq_44832048的博客
07-26 2316
level 3 在终端中输入file level3 查看为32位, checksec level3命令,发现栈是不受保护, 在IDA中查看伪代码, 很明显的栈溢出漏洞,但是没有system函数和/bin/sh字符串,只有一个write函数,泄露函数got表中的地址获取到库中某个函数的真正加载地址,通过偏移找出函数的库,通过然后找出其他函数的真正加载地址,包括system函数也包括...
VulnHub——Kioptrix Level 3
江左盟的博客
05-28 2967
目录 简介 信息收集 漏洞检测与利用 权限提升 总结 简介 该靶机还是一如既往的简单,通过信息收集发现Web服务使用LotusCMS,使用Google搜索发现存在已知漏洞,通过漏洞利用脚本获得webshell,然后通过内核漏洞直接提升权限到root。 信息收集 探测目标主机IP地址,如图: 然后对目标主机进行快速端口扫描,发现开启22和80端口,OpenSSH版本4.7p1,Apache版本2.2.8,PHP版本5.2.4-2,操作系统可能为Debian或Ubuntu,内核版本为2.
Uipath Level3的一些基础问题解决
S_Watermelon_avi的博客
02-28 3853
问题 level3需要我们做什么? level3过后对我们有什么好处? level3第一个练习需要干嘛? level3第二个练习需要干嘛? 回答 level3主要是我们对与学习uipath的一个成果检验,主要需要完成2个练习,第一个练习主要需要录屏,展示你的程序运行的过程,第二个练习主要是需要你运行你的程序以后的测试网站上的结果正确率,最后可以录屏,也可以上传代码! level3主要是让你能...
Uipath Level3的学习问题、练习问题
weixin_38610651的博客
06-17 1760
问题 level3需要我们做什么? level3过后对我们有什么好处? level3第一个练习需要干嘛? level3第二个练习需要干嘛? 回答 level3主要是我们对与学习uipath的一个成果检验,主要需要完成2个练习,第一个练习主要需要录屏,展示你的程序运行的过程(不录屏一般是过不了的,录屏的话要么你点击网站上的录屏,他会安装录屏软件,实时录屏,录完后会提示你上传,或者你可以把你的录屏...
This Gradle plugin requires a newer IDE able to request IDE model level 3
热门推荐
qiutiandepaomo的博客
12-28 3万+
在AndroidStudio2.3.3版本下新导入了一个项目,总是报一个错: This Gradle plugin requires a newer IDE able to request IDE model level 3.For Android Studio this means version 3.0+。 一开始一直以为是gradle版本不一致导致的问题,一直在改gradle的版
UiPath Level3讲解
liutao261311的博客
09-12 2684
Uipath中文社区qq交流群:4656303241 第一课–UiPath Level3 框架讲解 https://ke.qq.com/course/443058?taid=3645267593577138 第二课–UiPath Level3 案例1的讲解 https://ke.qq.com/course/443163?taid=3761240300503835 ...
Android之eclipse错误 Call requires API level 3 (current min is 1) 原因分析与解决办法
Android Linux MCU VC++
08-17 2813
打开蓝牙工程出现这个错误 按照网上说的 在工程上右键 -> Android Tools -> Clear Lint Markers,只能暂时去掉错误提示,重新保存又会出现 原因:没有设定minSdkVersion,或者版本不对 解决:对于我的蓝牙工程来说 ,在manifest增加 android:minSdkVersion="6" 就解决了问题
Call requires API level 3 (current min is 1)问题解决
记录和分享程序人生的点点滴滴
12-11 1万+
现象:      新导入一个工程,结果出现“Call requires API level 3 (current min is 1): android.text.format.Formatter#formatFileSize"错误。 解决方法:     在工程上点击右键 -> Android Tools -> Clear Lint Markers,即可。
gcc debug level 说明
cloud 的学习时代
07-17 1273
文章目录gcc -glevel 说明参考 gcc -glevel 说明 option description -g0 no debug information -g1 minimal debug information,没有局部变量信息 -g default debug information,包含局部变量信息 -g3 maximal debug information,包含宏定义信息 参考 [1] gcc -g flag [2] gcc debug options .
【Error】Call requires API level 3 (current min is 1)解决办法
zengxiaoweng的专栏
08-17 1991
出错的原因为AndroidManifest.xml中,uses-sdk中的android:minSdkVersion指定错误,按照错误提示变更minSdkVersion即可。 解决办法: 1.在AndroidManifest.xml中修改 2.在工程上右键 -> Android Tools -> Clear Lint Markers,但这种方法只能暂时去掉错误提示,但是没有解决上边问题。一
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8390
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
农牧集团企业数字化建设总体规划SAP解决方案参考.pdf
最新发布
08-17
农牧集团企业数字化建设总体规划SAP解决方案参考.pdf
java基于ssm+jsp软件工程项目管理系统源码 带毕业论文
08-17
【资源说明】 1、开发环境:ssm框架;内含Mysql数据库;JSP技术 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习借鉴。 4、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。
stm32can通信示例
08-17
1、打开两路fifo接收中断 ok 2、打开过滤器配置掩码和列表过滤项 ok 3、测试双机通信 ok 存在问题:1、通信对接收数据时携带标准id打印 id号存在问题,扩展id号打印正常。
培训课件 -危险源辨识及管控安全培训.pptx
08-17
培训课件 -危险源辨识及管控安全培训.pptx
培训课件 -案例开发与教学.pptx
08-17
培训课件 -案例开发与教学.pptx
H为数据安全管理实践.docx
08-17
H为数据安全管理实践.docx
毕业设计asp.net超市收银系统三层-qkrp源码含文档工具包
08-17
毕业设计asp.net超市收银系统三层-qkrp源码含文档工具包 asp.net,数据库sqlserver,开发工具用Microsoft Visual Studio 开发一个超市收银管理系统,能为超市收银人提供方便快捷的服务,以及为超市收银管理人员提供准确可靠的信息。该系统能实现前台收银、商品管理、进货单管理、销售单管理、库存查询、库存盘点、商品调拨、营业统计和系统管理等。 包含:源码、数据库脚本、论文、答辩ppt、开题报告、环境工具包(在说明文档中)
ASME BPV Sect IX-2001
08-17
ASME BPV Sect IX-2001
SAPAG2001: 4.6C系统中的LO715 PA Level3课程详情
"SAP AG2001课程资料,涉及LO715 MM PA Level3模块,系统环境为4.6C版本,发布于2001年7月,物料编号50046438。此外,文档强调所有权利已受保护,并指出其中包含的信息可能未经许可不得复制或用于任何目的,且信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值