xss 输出进行html编码,Pikachu:XSS-盲打、过滤、htmlspecialchars、href与js输出

XSS盲打:

前端数据交互的地方,输入信息,输入后的结果不在前端显示,也就是只有后台能看到输入的内容,从前端无法判断是否存在XSS,这种情况下,我们直接往里面插入XSS代码,然后等待。我们先进入盲打的页面:

b4eaf593d4303a0363413554fd01a0c6.png

然后在上面的文本框植入script标签,你的大名的地方随便写就可以:

alert('xss')    /    123

8e82c38c16e9d932d80b7f54c9fad1ff.png

然后发现并没有弹窗,没有特别的事情发生:

dcab9c03839de6726dc47b21a8ca50cb.png

打开右上角的“点一下提示”,里面的内容提示我们登录后台看看,我们就登陆一下:

bafb41f68be481b493e0bdc8cf7c485b.png

http://192.168.1.4/pikachu-master/vul/xss/xssblind/admin_login.php

admin/123456

84983d91f83559bc0f23380c52ed5383.png

发现点击Login,马上就出现了弹窗:

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值