xss 小练习

最新推荐文章于 2022-03-26 17:01:32 发布
最新推荐文章于 2022-03-26 17:01:32 发布
阅读量90 收藏
点赞数
原文链接:http://www.cnblogs.com/alvin-perfect/p/5056531.html
版权

跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。

首先看下HTML:

<!DOCTYPE html>
<html>
<head lang="en">
  <meta charset="UTF-8">
  <title></title>
</head>
<body>
<form >
 Username:<input type="text" id="username" />
 Password:<input type="password" id="pwd" />
 <input type="button" value="Submit" onclick="return checkUser()" />
 <div id="message">aaa        +</div>
</form>
<span><img src="null" onerror="console.error('this is from the img element');" /></span>
</body>
<script type="">

  function checkUser(){
  var body = document.body;
  var uname = document.getElementById("username").value;
  var pwd = document.getElementById("pwd").value;
    
    if('' == uname && '' == pwd){
      alert(" required ");
    }else{
        var div =document.getElementById("message"),
        script = document.createElement('script');
        div.innerHTML = "welcome "+uname+" to here,your password is "+pwd;
        // script.setAttribute('type', 'text/javascript');
        // script.setAttribute('src', uname);
        // body.appendChild(script);
    }
  }
</script>
</html>
View Code

接着在浏览器中的文本输入框中添加下面代码:

<img src="null" οnerrοr="console.error('this is from the img element');" />

摁F12打开控制台查看输出,点击Submit 按钮,可以看到报错

这是因为输入的内容作为标签融入网页中,因为Img标签src为null,所以会触发onerror事件输出this is from the img element。

转载于:https://www.cnblogs.com/alvin-perfect/p/5056531.html

巷中人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mutillidae实战(3)-CBC反转提权
zhy的博客
10-15 1338
1.工作总结 时隔一个多月了,因为忙着保研所以没太多时间来写博客。今天介绍的是涉及到密码学的一个东西,挺有意思的,也算是对课堂上的内容进行了运用了吧。 使用CBC反转来实现用户权限的提升。 主要工作为三个: burpsuite安装; CBC反转权限提升。 在burpsuite的安装中,这里我找了一个破解版的进行安装,且经过测试可以使用。 安装全过程:https...
xss攻关小练习
一枚努力的蛋蛋
07-21 274
xss攻关小练习第一关第二关第三关 第一关 过关条件 payload: 第二关 这里没有对输入的值实现htmlspecialchars函数梳理,所以直接闭合绕过 在搜索框里输入payload: 第三关 ...
XSS练习
lwbcsd的博客
03-26 4622
XSS ctfhub 反射型xss 做了第二遍,还是看了wp之后才看懂,发现自己还是太菜了,完全没思路 这里看下理解之后的解题过程 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KWV86jeQ-1648285193536)(C:\Users\ASUS\AppData\Roaming\Typora\typora-user-images\image-20220323220334331.png)] 打开之后,是这样的一个网站,已经知道是XSS了,第一步先输出js代码看能不能执行
Xss小游戏通关攻略带解释
sirius的博客
08-28 5439
Xss小游戏通关攻略 实验环境:xss小游戏源码+phpstudy 源码地址:https://files.cnblogs.com/files/Eleven-Liu/xss%E7%BB%83%E4%B9%A0%E5%B0%8F%E6%B8%B8%E6%88%8F.zip 实验步骤:启动phpstudy,浏览器访问127.0.0.1/xss/后提示点击图片进入第一关。 第一关:输入的变量直接被输出,直接构造payload即可。 http://127.0.0.1/xss/level1.php?.
mutillidae(owasp10)数据库报错
qq_43236906的博客
01-11 430
mutillidae(owasp10)数据库报错 在虚拟机搭建好mutillidae环境后数据库爆出以下错误 我们可以将mutillidae对应的数据库改为owasp10 使用命令:sudo vim /var/www/mutillidae/config.inc 输入命令后会让输入密码,密码可能是msfadmin或root,都尝试一下 找到$dbname变量,更改一下就可以了 回到页面刷新一下就可以了,如果刷新后还有问题清理一下浏览器的历史记录,重新进入一下 仅供参考:我借鉴了其他博客解决的,所有自己也
XSS练习平台
07-17
XSS练习平台、XSS练习平台XSS练习平台XSS练习平台XSS练习平台XSS练习平台
XSS20关练习源码
09-04
包含20关XSS练习的源码。文件都为PHP类型,下载个phpstudy就可以搭建起来了。我已经通过了,所以共享出来给大家练习
xss平台搭建源码,xss漏洞练习
06-03
xss平台搭建源码,用于练习xss漏洞,适用于网络安全学科的爱好者和学生,下载后解压缩到www目录下,需要将xss-sql导入数据库,并更改一下源码部分内容,很容易。最后要配置伪静态文件。
xss_test.7z
03-12
xss_test.7z
xss闯关小游戏.zip
02-25
这是一款利用xss漏洞闯关的小游戏,无需连接数据库,共20关,非常适合网络安全攻防的初学者练习使用,使用及安装教程请看此链接,https://editor.csdn.net/md?articleId=104496122 欢迎各位小伙伴下载
OWASP Mutillidae 靶机实验指导书
06-08
该指导书对每个页面存在漏洞进行了详细分类,对OWASP Top 10 应用安全风险-2017中的漏洞举例说明,结合靶机使用还不错。
OWASP Mutillidae II 漏洞靶场实验指导书.pdf
11-20
OWASP Mutillidae II 漏洞靶场实验指导书汇总 OWASP Top 10 应用安全风险-2017 OWASP (Open Web Application Security Project)开放式 Web 应用程序 安全项目,是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有 成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。
安全编码实践之二:跨站脚本攻击防御
04-09 391
声明:本文由Bypass整理并翻译,仅用于安全研究和学习之用。 文章来源:https://medium.com/bugbountywriteup/how-to-write-secure-code-b2757b59cd4b 如何编写安全代码?保护自己免受跨站点脚本攻击! 过去几个月我一直致力于安全代码实践,我一直在努力与社区讨论易于采用的方法。我们每天看到的不安全代码的数量确...
mutillidae实战(1)-安装与简单的SQL注入
热门推荐
zhy的博客
08-22 1万+
mutillidae实战(1)     第一次接触这个平台,打算使用这个平台进行一些web渗透演练,以此来加深下自己对web安全的理解。今天主要是完成的环境的搭建和基础sql注入的尝试,后续将完成更多渗透测试。 mutillidae 在 windows7 下的安装     这里使用的是windows7,并且已经安装了mysql了,在windows上,是需要再安装PHP的才能跑这个平台的,这里...
xss测试步骤优化(转)
weixin_33725126的博客
11-15 202
xss测试的一般步骤,总结了一下,尽量让xss测试的步骤简单高效一些。 测试xss一直很麻烦,一直想找个方法优化一下,经过几天的探索。终于找到了一个省时省力的方法。 首先介绍一下需要的工具。 xss&shell是一个xss平台。它首先需要搭建一个asp web服务器,将自身搭建起来,跟踪请求, 然后在xss地方,嵌入一个外部脚本文件,这个脚本文件会定期的访问x...
ctf实战 掌控安全的靶场 第七关通关记录
wh1te 小白的博客
09-27 942
 题目  远程连接设置可以上传本机文件 在本地设备与资源中选择详细信息 将要上传的工具的驱动器勾选上,可以选择u盘   把mimikatz上传至虚拟机  privilege::debug 提升权限   sekurlsa::logonpasswords 抓取密码   得到最后的flag   通关    ...
Web漏洞_XSS(cookie与session、DVWA1.9版本XSS反射型、存储型靶机实验、BeEF基本使用)
BeatRex的博客
04-05 1652
一、原理 二、分类 三、绕过 注意标签的闭合 大小写绕过 双写绕过 图片标签加事件绕过 <img src=# alert('xss')>)
卫星网络容器仿真平台+TC流量控制+SRS&ffmpeg推流.zip
最新发布
06-25
卫星网络容器仿真平台+TC流量控制+SRS&ffmpeg推流
反射型 xss靶场练习
09-27
在反射型XSS靶场练习中,可以使用以下步骤来进行练习: 1. 首先,找到一个含有反射型XSS漏洞的目标网站。 2. 在目标网站的输入框或URL参数中插入恶意代码,例如<script>alert("XSS")。 3. 提交输入或发送包含恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值