web安全学习
文章平均质量分 80
个人学习web安全的经历
李妍.
我只是一个臭打代码的
展开
-
xss-lab靶场的level15-level20
点我进入下一关原创 2024-06-17 21:01:19 · 215 阅读 · 1 评论 -
xss-lab的level11-level14
" onfocus=javascript:alert() type="text把这个填在referer里即可。但是t_ref参数接收的是HTTP_REFERER请求头,所以这道题应该是在这里存在漏洞点。所以真正的做法是:因为t_ref直接接收refer,所以直接构造referer。但是为啥这个网站打不开,反正感觉是跳转到这个网站然后再xss。查看了一下源代码,发现接收的是用户的cookie。而且大于号是被删掉了,但是可以使用伪协议。但是要注意的是大于号是被删除了。value里的是UA头。原创 2024-06-16 19:14:36 · 236 阅读 · 2 评论 -
xss-lab靶场level1-level10
标签一起使用,以上面图片的html标签为例,标签是有输入框的,简单来说,onfocus事件就是当输入框被点击的时候,就会触发myFunction()函数,然后我们再配合javascript伪协议来执行javascript代码。">友情链接';echo '友情链接原创 2024-06-16 13:01:34 · 283 阅读 · 0 评论 -
跨站脚本漏洞(xss)原理及绕过
丹尼在cookie上设置httponly标识后,浏览器就会知道这是特殊的cookie,只能由服务器检索,所有来自客户端脚本的访问都会被禁止。利用现有的xss平台,xss平台是一个测试xss漏洞获取cookie的平台,xss可以做js能做的所有事情,八廓但不限于窃取cookie、后台删改文章、钓鱼、李勇xss漏洞进行传播、修改网页代码、网站重定向、获取用户信息等。x:模式中的没有经过转义的或不在字符类中的空白数据字符总会被忽略,并且位于一个未转义的字符类外部的#字符和下一个换行符之间的字符也被忽略。原创 2024-06-14 21:30:47 · 29 阅读 · 0 评论