ctf xss利用_xss总结--2018自我整理

最新推荐文章于 2024-03-12 19:36:23 发布
VIP文章 最新推荐文章于 2024-03-12 19:36:23 发布
阅读量1.2k 收藏 2
点赞数
文章标签: ctf xss利用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39851809/article/details/112950712
版权

0x00前言

因为ctf中xss的题目偏少(因为需要机器人在后台点选手的连接2333),所有写的比较少

0x01xss作用

常见的输出函数:print()、 print_r()、 echo、 printf()、 sprintf()、 die()、 var_dump()、 var_export()

xss是往页面中添加了一段代码,并且被浏览器执行了

反射型将恶意代码写入参数,或者自己服务器上搭个form表单传送,用来钓鱼

存储型就等着别人点这个网页就行了

0x02手段

xss主要出现的地方:文章发表,评论回复,留言,资料设置等

xss无非就是要对方的cookie,但是常常会有httponly导致cookie并不能传到xss平台,这是一种有效的防御方式

但是xss预防应该从本质出发,即对该页面用户输入不能被执行

xss触发方法

利用script标签执行js

字符串用" ' 包裹都行

采用on事件方法

on事件不用单引号或双引号也可以触发,但是必须闭合标签内的引号

=>点击就会触发 =>鼠标移动触发

能够使用on事件的标签

支持on click事件的标签有,

, , , , ,
, , ,
, , , , ,
最低0.47元/天 解锁文章
weixin_39851809
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
83.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结_杨秀璋的专栏-CSDN博客1
08-03
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。前文学习:[网络
CTF学习笔记——XSS攻击
Obs_cure的博客
08-02 9130
一、XSS原理 跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。[1]百度百科 HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是HTML标签的开始,与之间的字符是页面的标题等等。当动态页面中插入的内容含有这些特殊字符(如<)时,用户浏览器会将其误认为是插入了HTML标签,当这些HTML标签
xss--ctf,绕过,修复
最新发布
2303_79592445的博客
03-12 622
发现多了一个修改密码,当我处于登录状态,去修改这个密码,然后抓个包,就会发现,它回去访问这个网站,它会随着url的改变而改变。用这种比较好,因为他不会自动跳转到那个修改密码的地址,之前的那个,当管理员打开那个数据库,就会直接跳转,就可能被发现。当我们将这个跳转代码写到上面,就会让它自动跳转到这个修改密码的网站,就可以达到修改密码的目的。(123是密码,以前是get直接访问就行,所有我们就需要js语句来实现post直接提交)密码改成js语句,然后后台访问数据库,就会获取管理员的 cookie。
【web-ctfctf-pikachu-XSS
一个努力生活的人的博客
06-27 2257
XSS-pikachu
ctfshow XSS专题
yink12138的博客
12-17 1397
ctfshow XSS专题
CTF XSS
m0_62102520的博客
07-04 167
【代码】CTF XSS篇。
XSSPawn:XSSPawn是一种灵活且可自定义的访客bot,用于设置CTF挑战; 主要用作CTF XSS Bot。 它基于CTFTraining的base_image_xssbot
04-08
XSSPawn XSSPawn是一种灵活且可自定义的访客bot,用于CTF(主要是XSS)挑战设置。 从精湛的分支建于高山的Chrome木偶核心Express.js怎么运行的XSSPawn是基于触发器的,由Express驱动的服务,它依赖于HTTP请求通信。 ...
ctf-browser-visitor:Bot访客服务,应对CTF中的XSS挑战
05-04
ctf浏览器访问者 Bot访问者应对CTF中的XSS挑战 http://127.0.0.1:5000/visit?job={"url":"url_to_visit","cookies":{"key":"value"}}
CTF-网络挑战
03-02
本项目只是对历届CTF开源的网站 申明 由于本人重新向出题人申请重新对过渡进行修改发布的权利,但对每个题均标明了出处,如涉嫌犯罪,立马致歉删除。 对于部分没找到flag的翻译,会自己随便添加 对已提供Dockerfile...
ctf xss注入.pdf
02-11
ctf xss注入
CTF特训营》——跨站脚本攻击(XSS
PICACHU+++的博客
07-15 2190
跨站脚本攻击简称XSS,是一种网站应用程序漏洞,是代码注入漏洞的一种,攻击者可以通过这个漏洞向网页中注入恶意代码,导致用户浏览器加载网页、渲染HTML文档时执行攻击者代码。反射型XSS,存储型XSS,DOM型XSS输出在HTML属性中,输出在CSS代码中,输出在JavaScript中.......................................
CTFHUB——反射型XSS详解
wuuconix's blog
09-01 7435
背景 本来看ctfhub上有xss的题目,打算好好学习一波,结果点开一看,只有一道题2333。 便现在dvwa上熟悉了一波。所谓反射型是相对于存储型来讲的。 如果黑客的xss注入是通过某种方式储存到了数据库中,那就是存储型的,这种xss的特点就是每次访问该页面都会收到xss攻击,因为js语句已经放在数据库里了。 而反射型xss则不是这样,每次触发只能手动输入和点击才能触发。 我认为xss产生的原因主要是对便签审查不严格造成的。 dvwa xss例题 下面写一下dvwa中的三种难度的反射型xss。 <?
CTFXSS浅谈(xsslabs)
glass_york的博客
10-07 375
主要针对XSS入门和XSSLABS前7关挑战
CTF中web方向的XSS
cutesharkl的博客
07-13 586
XSS概述:XSS是一种Web安全漏洞,它允许攻击者将恶意脚本注入到受害者的Web应用程序中,从而在用户的浏览器中执行该脚本。这种攻击可以导致各种问题,包括窃取用户登录凭据、会话劫持、网页篡改等。
ctf xss利用_从xss挑战之旅来重读xss(一)
weixin_39735166的博客
11-29 613
在开始这篇文章之前,先简单聊几句: - xss很多时候是鸡肋,比如说self-xss - 很多厂商都会注明拒收反射xss,如58src - 遇到请证明危害性的说法就走,人家的潜台词也是拒收反射xss - 遇到收反射xss的,证明截图拿cookies能比alert弹个窗多很多money - xss有时候也值很多钱,比如说某厂商的一个存储xss就给了3.5k其实我们基本上都知道xss是什么,在给厂商...
CTF-XSS
H2223的博客
07-26 590
链接https提取码6elk使用phpstudy运行。
ctf xss利用_CTF小白入门- 跨站脚本攻击
weixin_39984952的博客
02-23 1063
跨站脚本攻击(Cross Site Scripting , XSS)是指攻击者巧妙的将恶意代码注入到网页中,当用户浏览器中加载网页、渲染网页时,就会执行的恶意代码的过程。经常遭到XSS漏洞的典型应用有 邮件、论坛、留言板等。新浪微博、百度贴吧也曾遭受过 XSS攻击。对内容有不理解的小伙伴或发现错误的小伙伴,可以私信和我联系,共同探讨。如果您喜欢,麻烦点个赞,(づ ̄ 3 ̄)づXSS可以造成哪些危害?...
ctf xss利用_一道XSS题目分析
weixin_39960147的博客
01-14 1167
目录0x00 介绍题目地址:https://challenge.intigriti.io/题目的要求是绕过CSP实现XSS,执行alert(document.domain)。0x01 解决页面中加载了个script.js:varhash=document.location.hash.substr(1);if(hash){displayReason(hash);}document.getEle...
010ctf xss
08-24
在010ctf中,XSSPawn是一种灵活且可自定义的访客bot,用于CTF挑战设置,主要是XSS攻击的挑战。它是基于触发器的,由Express驱动的服务,依赖于HTTP请求通信。 在XSS攻击中,一般情况下,self代表只接受符合同源策略...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值