跨站脚本xss-test靶场

最新推荐文章于 2023-08-18 10:02:32 发布
最新推荐文章于 2023-08-18 10:02:32 发布
阅读量615 收藏 4
点赞数
分类专栏: 安全渗透 文章标签: xss 跨站脚本攻击 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/t102526/article/details/124159987
版权

靶场地址:url:http://test.ctf8.com/

Level 1

页面没有文本框,但可以从URL下手
payload:test.ctf8.com/level1.php?name=
在这里插入图片描述

Level 2

随便输入点什么,查看页面源码,发现我们输入的内容被困在了input的value属性内,那就闭合他们
payload:">
在这里插入图片描述
在这里插入图片描述

Level 3

<>被转义,所以不能再用标签,那就给input加一个onfocus事件
payload:’ οnfοcus=alert(‘ok’)//

在这里插入图片描述

Level 4

和上一关相同,只不过value需要用单引号闭合
payload:" οnfοcus=alert(‘ok’)//

在这里插入图片描述

Level 5

script和onclick都被过滤了,没关系,我们还有a标签
payload:">

在这里插入图片描述

Level 6

script、onclick、href都被过滤了,那试试大小写绕过
payload:">

在这里插入图片描述

Level 7

script被替换成了null,那就好办了,将script放到scr和ipt之间,即使script被替换成了null,前后连接依然又是一个script
paylaod:">alert(‘ok’)
在这里插入图片描述

在这里插入图片描述

Level 8

script、onclick被屏蔽了并且大小写还不能绕过,那只能请出我们的HTML ASCCI编码来替换r了
paylaod:javascript:alert(‘1’)
在这里插入图片描述

在这里插入图片描述

Level 9

可能后台代码限制了输入的格式必须为网址,所以我们必须加一串网址,%0d是urlencode编码的换行
payload:javascript:%0dhttp://www.0aa.me%0dalert(‘ok’)

在这里插入图片描述

Level 10

F12审查元素,发现有三个属性为hidden的表单,我们可以修改URL参数来实现注入
payload:http://test.ctf8.com/level10.php?t_sort=" type=“text” οnclick=“alert(‘ok’)”

在这里插入图片描述

在这里插入图片描述

tlucky1
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS实战1(http://test.ctf8.com/)
Bob_Box的博客
04-12 1112
要求:显示弹窗即为过关 level1 通过修改URL中参数name发现页面test也会被修改,尝试修改name的值 ?name=<script>alert(/nice/)</script> level2 存在文本框,输入<script>alert(/nice/)</script>,页面返回如下,F12查看源码 接下来我们输入单引号,结果如下 再然后输入双引号,结果如下 由此得出value值为双引号闭合,尝试闭合标签.
XSS知识总结
weixin_64051447的博客
04-26 1700
HTML标签 等带src属性的标签都可以域加载资源,而不受同源策略的限制。每次加载时都会由浏览器发送一次GET请求,通过src属性加载的资源,浏览器会限制JavaScript的权限,使其不能读写返回的内容。
test.ctf8 xss注入解题记录
qq_43623492的博客
04-02 4315
Level 1 页面没有文本框,但可以从URL下手 payload:test.ctf8.com/level1.php?name=<script>alert('ok')</script> Level 2 随便输入点什么,查看页面源码,发现我们输入的内容被困在了input的value属性内,那就闭合他们 payload:"><script>alert('ok...
XSS挑战的测试
daxi0ng的博客
03-19 1925
XSS挑战地址:http://xss.tesla-space.com/ 参考两篇文章: 一、https://xz.aliyun.com/t/1206 二、https://www.cnblogs.com/r00tuser/p/7407459.html 总结来说绕过姿势: 1、闭合前面的标签,后面构造xss语句 2、过滤尖括号 用事件来弹窗 ' oninput=alert`1` //...
【网络安全】Web安全系列——XSS攻击
fly_enum的博客
08-18 702
脚本攻击(XSS),英文全称 Cross Site Script, 是Web安全头号大敌。XSS攻击,一般是指黑客通过在网页中注入恶意脚本,当用户浏览网页时,恶意脚本执行,控制用户浏览器行为的一种攻击方式。其中,XSS攻击通常分为反射型XSS、存储型XSS、DOM Based XSS三种。可以通过以下例子看看XSS攻击是如何产生的。
xss脚本攻击-运维安全详细笔记
06-30
xss脚本攻击知识点总结 xss脚本攻击是一种常见的Web应用安全漏洞,攻击者可以通过在网上注入恶意代码,盗取用户敏感信息,控制企业数据,非法转账,发送恶意邮件等。下面是xss脚本攻击的知识点总结:...
WEB渗透学习-XSS-labs靶场
04-20
**XSS(脚本攻击)学习指南:XSS-labs靶场详解** XSS,全称为Cross-Site Scripting,是网络安全领域常见的漏洞类型之一。它允许攻击者通过注入恶意脚本到Web页面中,进而对用户浏览器进行操控。XSS-labs是一个...
xss-labs靶场通关
最新发布
10-13
xss-labs靶场通关 本篇文章将对xss-labs靶场的六关源码进行详细的分析和总结,并对每一关的xss攻击payload进行解释。 第一关 xss-labs靶场的第一关源码没有做任何过滤,直接上xss payload:<script>alert("XSS")...
xss-lab靶场资源包
07-27
通过使用XSS-Lab靶场资源包,安全从业者和爱好者可以模拟真实环境下的攻击场景,提高对XSS漏洞的识别能力和防御能力,这对于保障网络应用的安全至关重要。在实践中学习和理解这些知识,有助于提升网络安全专业素养,...
xss-labs靶场,直接放到www目录下直接用,超方便
09-24
XSS-Labs是一个针对脚本(Cross-Site Scripting,简称XSS)安全漏洞的专业靶场。这个靶场设计了一系列的挑战关卡,旨在帮助用户深入理解XSS攻击的原理、类型以及防御策略。通过实战演练,用户可以提升对XSS漏洞...
XSS测试平台.zip
08-06
XSS测试平台是测试XSS漏洞获取cookie并接收Web页面的平台
XSSTest示例
10-09
防止XSS注入的一个demo,通过过滤器+正则实现的,可以直接使用,导入myeclipse或eclipse部署到tomcat,访问localhost:8080/XssTest,即可测试
xss-labs靶场实战全通关详细过程(xss靶场详解)
热门推荐
金 帛的博客
07-13 3万+
xss靶场一到二十关通关详细教程
从xss挑战之旅来重读xss(一)
Sp4rkW的博客
11-08 2430
在开始这篇文章之前,先简单聊几句: xss很多时候是鸡肋,比如说self-xss 很多厂商都会注明拒收反射xss,如58src 遇到请证明危害性的说法就走,人家的潜台词也是拒收反射xss 遇到收反射xss的,证明截图拿cookies能比alert弹个窗多很多money xss有时候也值很多钱,比如说某厂商的一个存储xss就给了3.5k 其实我们基本上都知道xss是什么,在给厂商提交漏洞的时候,...
Collabtive系统XSS攻击实验
qq_29687403的博客
07-29 1929
Collabtive系统XSS攻击实验实验简介脚本(XSS)是一种常见较弱的web应用程序漏洞,攻击者使用这个漏洞注入恶意代码(例如JavaScript)来攻击受害者的web浏览器。 使用恶意代码,攻击者可以轻松窃取受害者的凭证,例如cookies的访问控制政策(例如:IE同源策略)受雇于浏览器可以保护这些凭证绕过XSS漏洞,利用这种漏洞可能会导致大规模的攻击。预备知识什么是XSSXSS(C
反射型xss测试(owasp)
qq_1062290728的博客
03-31 1037
原文 How to test 黑盒测试 黑盒测试至少包括3个阶段: 寻找输入 对于每个网页,测试者要确认所有web应用中用户定义的变量,以及如何输入它们。这包括隐藏的输入,比如http参数、post数据、表单的隐藏字段和预定义的值。通常,用浏览器自带的html编译器或web代理来查看隐藏变量。 分析输入 分析每个输入以检测潜在漏洞。为了检测xss漏洞,测试者通常使用特定构建的输入数据。这类输入一般是无害的,但能触发此漏洞。测试数据能够用web应用fuzzer产生,或手动生成。这种输入的一些例子如下: &l
从零学习安全测试,从XSS漏洞攻击和防御开始
diezhuzhuo3333的博客
11-23 499
WeTest 导读 本篇包含了XSS漏洞攻击及防御详细介绍,包括漏洞基础、XSS基础、编码基础、XSS Payload、XSS攻击防御。 第一部分:漏洞攻防基础知识 XSS属于漏洞攻防,我们要研究它就要了解这个领域的一些行话,这样才好沟通交流。同时我建立了一个简易的攻击模型用于XSS漏洞学习。 1. 漏洞术语 了解一些简单术语就好。 VU...
XSS专栏之常见xss--总结备忘
键盘的起始页
02-25 1026
开始总结一些xss的想法。
XSS测试平台——BlueLotus(Windows系统)下载与安装
edsion4的博客
12-08 2920
XSS测试平台——BlueLotus(Windows系统)下载与安装
xss-labs靶场通关详解
08-26
然而,XSS(脚本攻击)是一种常见的网络安全漏洞,它允许攻击者将恶意的脚本注入到网页中,从而获取用户敏感信息或在用户浏览器中执行恶意操作。 通常,成功通过XSS-labs靶场的关键是了解XSS漏洞的原理和常见的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值