XSS-Game level 12

已于 2024-06-23 17:19:47 修改
阅读量1.5w 收藏 2
点赞数 4
分类专栏: 《靶场实战》 文章标签: 安全 web安全 网络安全
于 2021-07-08 22:24:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangyuxiang946/article/details/118583813
版权

 「作者简介」:冬奥会网络安全中国代表队,CSDN Top100,就职奇安信多年,以实战工作为基础著作 《网络安全自学教程》,适合基础薄弱的同学系统化的学习网络安全,用最短的时间掌握最核心的技术。

第十二关利用 HTTP_USER_AGENT 通过点击事件绕过

先看源码 , 本关有三个参数 , 第一个 keyword , 使用 htmlspecialchars() 编译后 , 在页面拼接 , 难度较大

 第二个 t_sort , 使用 htmlspecialchars() 编译后 , 拼接在 value值 , 难度较大

第三个 HTTP_USER_AGENT , 过滤了尖括号 <> 后拼接在 value值 , 难度相对较低

使用代理( Burp Suit ) 拦截请求 , 修改 User-agent , 添加点击事件 , 并修改type属性 使input输入框展示

左侧第一个双引号 用来闭合 value属性的 左双引号

 点击输入框触发弹窗 , 过关

士别三日wyx
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
xssgame.zip
06-10
xss小游戏靶场
XSSxss-labs-level12
Hugu
02-24 273
文章目录0x01 XSS-Labs0x02 实验工具0x03 实验环境0x04 实验步骤0x05 实验分析0x06 参考链接 0x01 XSS-Labs   XSS(跨站脚本攻击)是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。   XSS按照利用方式主要分为:反射型XSS、存储型XSS、DOM型XSS。反射型XSS是攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的
XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程_xss靶场level
最新发布
2401_84166258的博客
05-14 882
3)第三步:弹窗测试,回车即可弹窗,自动进入下一关。4)从源码可以看到,第一关没有任何过滤。​​​​​​​​。
XSS-Game 通关教程,XSS-Game level1-18,XSS靶场通关教程
wangyuxiang946的博客
01-07 1万+
XSS-Game level1 XSS-Game level2 XSS-Game level3 XSS-Game level4 XSS-Game level5 XSS-Game level6 XSS-Game level7 XSS-Game level8 XSS-Game level9 XSS-Game level10 XSS-Game level11 XSS-Game level12 XSS-Game level13 XSS-Game level16 XSS-Game level17
XSS-12注入靶场闯关(小游戏)——第十二关
qq_39330735的博客
02-04 168
XSS-12注入靶场闯关(小游戏)——第十二关,请求头注入User-Agent注入
[网络安全]xss-labs level-12 解题详析
等风来
08-04 2321
str33为注入点,而str33由str11经过滤得到,str11为user agent。
xss-labs-master.rar
05-09
"xss-labs-master.rar" 提供了一个针对XSS漏洞的专项练习平台,旨在帮助初学者及安全爱好者提升对XSS攻击的理解和防御能力。这个靶机资源共分为二十个关卡,由浅入深,逐步引导用户掌握XSS攻防的核心技巧。 一、XSS...
xss-labs-master源码
07-06
"xss-labs-master"是一个专门设计的靶场,包含了20个级别的XSS练习,旨在帮助学习者深入理解和掌握XSS攻击的原理、类型以及防御策略。通过逐步解决这些精心设计的挑战,我们可以逐步提升对XSS攻击的理解,并提升安全...
xss-labs-master.zip(xss注入通关游戏/靶场)
03-21
`xss-labs-master.zip`包含了一个专门用于学习和实践XSS注入的通关游戏或靶场,对于网络安全测试人员来说,这是一个极好的学习资源。 **XSS分类** 1. **存储型XSS**:也称为持久型XSS,攻击者将恶意脚本存入服务器...
xss-filter-spring-boot-starter:springboot自动xss
05-17
xss-filter-spring-boot-starter springboot自动xss 使用方法在项目的pom.xml中加入依赖即口 <groupId>com.djk</groupId> <artifactId>xss-filter-spring-boot-starter <version>0.0.1 目前支持3种入参数xss...
xss-game.appspot.com——Hello, world of XSS
王嘟嘟的博客
09-20 431
0x00 前言 之前玩了xss-quiz.int21h.jp,学到了很多东西,现在来看看谷歌的这个游戏。按照常理,第一道题为无过滤前道题。 0x01 key 直接&amp;lt;script&amp;gt;alert(&quot;1&quot;)&amp;lt;/script&amp;gt;拿到key。 ...
xss闯关小游戏.zip
02-25
这是一款利用xss漏洞闯关的小游戏,无需连接数据库,共20关,非常适合网络安全攻防的初学者练习使用,使用及安装教程请看此链接,https://editor.csdn.net/md?articleId=104496122 欢迎各位小伙伴下载
XSS game -xss学习
shinygod的博客
11-23 641
XSS game -xss学习
XSS-Game Level 4
热门推荐
wangyuxiang946的博客
04-21 1万+
第四关过滤了左右尖括号 ">","<" , 我们使用事件来绕过 源码中 , 过滤了 '>' 和 '<' , 标签用不了 使用htmlspecialchars() 过滤标签 , 但未重新赋值给 $str , 所以不会造成影响 既然标签不能用 , 那我们就用事件绕过 , payload " onclick="alert(4) 左边第一个双引号用来闭合value属性的左边双引号 , 第二个双引号用来闭合value属性的右边双引号 页面代码变化如...
XSS Challenges(1-12关)
weixin_30938149的博客
08-04 358
XSS Challenges解析: 1. 什么过滤也没有,而且是直接输出。<scrip>alert(document.domain);</script>即可通过 2. 直接输入第一关不行,查看源代码: <input type="text" name="p1" size="50" value="<scrip>alert(document.domain);&l...
XSS-Game闯关
weixin_44839866的博客
08-27 152
环境是内网靶场,自己搭建 WP https://www.cnblogs.com/Lmg66/archive/2020/07/16/13323026.html 第四关 根据回显可以看出进行了<>过滤 第五关 第八关 第十关 第十一关 第十五关 进行了空格过滤 使用替换 ...
0x01-XSS基础实战-XSSGame 6集全
0pr
06-03 551
目录 这是什么? 今日目标 Level 1 Level 2 innerHTML innerHTML的安全问题 Event Level 3 location.hash Level 4 Level 5 Level 6 Protocol-relative URLs DataURLs 总结 参考链接 这是什么? XSS 系列开篇。WebApp 渗透测试是一个大话题,之前的 SQL 系列之后还会继续深入。本篇的 XSS 系列也一样,在后续的工作学习中,不断记录。 我不再讲 XSS 的基本
XSSGAME小游戏(XSS学习)level1-15
qq_62078839的博客
07-22 2555
XSS源码下载本地搭建。
XSS-labs挑战解析:从Level1到Level3的攻破策略
这篇内容主要介绍了XSS-labs的初阶挑战,包括Level1、Level2和Level3,这是一个用于学习和实践跨站脚本(XSS)攻击的在线平台。XSS攻击是网络安全领域常见的攻击手段,它允许攻击者在用户浏览器上执行恶意脚本,可能...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

士别三日wyx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值