ctf web方向与php学习记录16之xss初见

最新推荐文章于 2020-12-29 09:51:52 发布
最新推荐文章于 2020-12-29 09:51:52 发布
阅读量172 收藏
点赞数 1
文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46203060/article/details/108978915
版权

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
(人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。)
下面是我在博客中截取的一段文字。
类型:
1 DOM型。属于反射型的一种,利用非法输入来闭合对应的html标签。数据流向是URL→浏览器。
2 存储型。危害大。相关源代码存放于服务器,用户浏览该页面时触发代码执行。
3 反射型。需要攻击者提前构造一个恶意链接来诱使客户点击。

具体操作参照下面的博客可以轻而易举的完成,后续的学习会将相关知识发布。这里就把我实践的过程发一下。
https://blog.csdn.net/weixin_43486981/article/details/107974878

在这里插入图片描述
在项目名称中发现flag
在这里插入图片描述

这周末在做梦
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
CTF题解五 Web PHP大法(实验吧)
LJFYYJ的博客
07-14 2361
实验吧题目链接:http://www.shiyanbar.com/ctf/54 首先,根据题目中提示,要注意备份文件。 点开题目链接后,最后有提示index.php.txt。于是进行访问。 采用的是GET方法,代表着之后可以用?id=XXX的方式进行测试。 程序的主要逻辑是,GET方法得到的id的值必须被hackerDJ所包含,却又在进行一次url解密后,与其相等。 这里涉及到P...
PHP反序列化CTF例题
bwxzdjn的博客
03-25 5887
用代码审计的方式分析一道典型的存在PHP反序列化漏洞的案例,加深对魔术方法等相关知识的理解。另外,还会和xss跨站脚本的知识进行融合。
CTF/CTF练习平台-XSSxss注入及js unicode编码及innerHTML】
热门推荐
Sp4rkW的博客
08-31 1万+
原题内容: http://103.238.227.13:10089/ Flag格式:Flag:xxxxxxxxxxxxxxxxxxxxxxxx 题目有点坑啊,注入点都没说明,去群里问的,这题注入点为id(get方式),id的值会进行替换后进入s 补充了这个,好了,继续做题 右键源码 <script> var s=""; docu...
CTF学习笔记——XSS攻击
Obs_cure的博客
08-02 9540
一、XSS原理 跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。[1]百度百科 HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是HTML标签的开始,与之间的字符是页面的标题等等。当动态页面中插入的内容含有这些特殊字符(如<)时,用户浏览器会将其误认为是插入了HTML标签,当这些HTML标签
CTFSHOW xss
羽的博客
12-28 9258
web316 xss平台 https://xss.pt/xss.php 创建项目 选择默认模块 一直下一步,然后随便那个代码放到题目输入框中 再刷新下题目 最后看下项目 结束
利用php的原生类进行XSS([BJDCTF 2nd]xss之光)
qq_45521281的博客
04-28 1494
文章目录基础知识__toString 文章围绕着一个问题,如果在代码审计中有反序列化点,但是在原本的代码中找不到pop链该如何?N1CTF有一个无pop链的反序列化的题目,其中就是找到php内置类来进行反序列化。 基础知识 首先还是来回顾一下序列化中的魔术方法,下面也将以此进行研究。 当对象被创建的时候调用:__construct 当对象被销毁的时候调用:__destruct 当对象被当作一个字符...
CTF Web学习笔记
01-11
CTF Web学习笔记,包含杂项和WEB两部分,包含杂项简介,WEB知识点总结以及Web常用套路总结。
CTF-Web-Challenge:使用PHPWeb中进行CTF挑战
03-25
在这个"CTF-Web-Challenge"中,你将有机会学习和实践如何在Web环境中识别和利用漏洞。 PHP是一种广泛使用的服务器端脚本语言,特别适合开发动态网站。在CTF挑战中,你可能会遇到的PHP相关知识点包括: 1. **PHP...
CTF工具之御剑后台扫描(web).rar
09-16
CTF工具之御剑后台扫描(Web)】 在网络安全领域,CTF(Capture The Flag)是一种流行的比赛形式,参赛者通过解决各种安全问题来获取分数。御剑后台扫描工具是专门为CTF比赛设计的一款Web渗透测试工具,主要用于...
CTF工具之WEB.zip
10-07
【标题】:CTF工具之WEB.zip 【正文】: CTF(Capture The Flag)是一项网络安全竞赛,参与者通过解决各种安全挑战来展示他们的技术技能。这个名为“CTF工具之WEB.zip”的压缩包,显然是专门为参与此类比赛的选手...
ctf web解题找flag夺旗赛之常用的解题思路及技巧
最新发布
12-29
ctf web解题找flag夺旗赛之常用的解题思路及技巧ctf web解题找flag夺旗赛之常用的解题思路及技巧ctf web解题找flag夺旗赛之常用的解题思路及技巧ctf web解题找flag夺旗赛之常用的解题思路及技巧ctf web解题找flag夺...
CTF--XSS注入
woshisz0413的博客
11-27 2334
是否存在XSS注入测试方法:造非法参数来让网页返回错误信息 例:pass=1构造成pass[]=1查看错误信息
[BJDCTF 2nd]xss之光 (利用php原生类进行XSS
EC_Carrot的博客
12-29 518
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! 知识点 有关该题目的知识点,十分建议去看看这篇大佬的文章:https://blog.csdn.net/qq_45521281/article/details/105812056 当对象被当作一个字符串使用时候调用(不仅仅是echo的时候,比如file_exists()判断也会触发):__toString 这里的原理就是利用__toString这个魔法方法
PHP过滤XSS攻击的函数
稻草人技术博客
02-16 4256
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,进而达到某些人的攻击目的。<?php function RemoveXSS($val) { // remove all non-printable characters. CR(0a) and LF(0b)
XSS 漏洞总结
4ct10n
11-03 1万+
xss一直以来接触最少的类型,现在终于有幸将其总结一下了·····,xss漏洞是目前最为常见的漏洞类型之一,其触发脚本经常与js代码有关,所以要想掌握好xss必须要有深厚的js编码功底。本篇内容是我学习xss的总结,会结合着代码编写与实验,对xss进行系统的讲解,以便我更好的认识xss
CTF中常见的一些PHP漏洞总结
Mikasa
02-17 4532
平常也遇到不少这样的题目,记性不好很容易忘,于是好好总结一下加深记忆!!! 一. md5()漏洞,php在处理哈希字符串时会利用”!=”或” ==”来对哈希值进行比较,它把每一个以” 0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以” 0E”开头的,那么PHP将会认为他们相同,都是0。 下面举几个经md5处理后开头为0e的例子; s878926199a...
ctf xss利用_从xss挑战之旅来重读xss(一)
weixin_39735166的博客
11-29 622
在开始这篇文章之前,先简单聊几句: - xss很多时候是鸡肋,比如说self-xss - 很多厂商都会注明拒收反射xss,如58src - 遇到请证明危害性的说法就走,人家的潜台词也是拒收反射xss - 遇到收反射xss的,证明截图拿cookies能比alert弹个窗多很多money - xss有时候也值很多钱,比如说某厂商的一个存储xss就给了3.5k其实我们基本上都知道xss是什么,在给厂商...
ctf web方向怎么学习
04-27
如果你想学习CTF Web方向,建议你掌握一些基本的技能,如Web开发和网络安全知识。可以从以下几个方面入手学习: 1. 学习Web开发:HTML、CSS、JavaScript、PHP、ASP.NET等等。 2. 学习网络知识:如HTTP协议、TCP/IP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

这周末在做梦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值