xss挑战(超详细小白)

已于 2022-09-24 15:29:40 修改
阅读量1.3k 收藏 7
点赞数 1
文章标签: xss javascript
于 2022-09-22 21:07:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64655821/article/details/126995320
版权
本文详细介绍了在不同环境下搭建xss挑战环境,并逐步解析每关的解决思路和技巧,包括利用浏览器开发者工具、尝试不同属性、编码绕过等方法。通过实战挑战,帮助读者理解并掌握xss攻击的原理和防御策略。
摘要由CSDN通过智能技术生成

 

自己准备的环境

window下

开启小p的apache和mysql,把靶场环境放到www目录下,在浏览器访问127.0.0.1/文件名

kali下

开启docker,先搜索docker search xss-labs ,然后拉取docker pull vulfocus/xss-labs,运行容器,映射到8088端口加载镜像docker run -dt  -p 8088:80  vulfocus/xss-labs,然后浏览器访问kali的ip:8088地址,开启xss挑战之旅

简单的思路

可以借助浏览器自带的开发者模式,f12键,有些笔记本是Fn+F12。简单的一般就是script脚本弹窗警告开始尝试,然后再看是否大小写过滤,标签过滤,onmouseenter或者onerror属性,鼠标事件,οnmοuseenter= alert(1),鼠标经过弹窗警告1,

a标签href属性,加入script脚本,弹窗警告1<a href='javascript:alert(1)'>,还有编码绕过,把需要输入的内容进行编码转换,可以上网搜编译解译器

第一关

看url地址栏里的name,修改name里面的参数,输出到界面, 构造代码<script> alert('欢迎来钓鱼')</script>

成功通关

第二关

先随便输入一个参数,查看源码,发现值会传入value中,尝试闭合标签

 成功闭合,闭合前面标签又写入弹框警告script脚本

"><script>alert(

最低0.47元/天 解锁文章
晓目
关注
[网络安全自学篇] 二十三.基于机器学习的恶意请求识别及安全领域中的机器学习
杨秀璋的专栏
11-01 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Web渗透的第一步工作,涉及网站信息、域名信息、端口信息、敏感信息及指纹信息收集。这篇文章换个口味,将分享机器学习在安全领域的应用,并复现一个基于机器学习(逻辑回归)的恶意请求识别。
[网络安全自学篇] 三十八.hack the box渗透之BurpSuite和Hydra密码爆破及Python加密Post请求(二)
热门推荐
杨秀璋的专栏
01-13 1万+
这是作者的系列网络安全自学教程,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文详细讲解了hack the box在线渗透平台获取邀请码、注册过程。本文将分享Web渗透三道入门题目,它们包括Python编写md5加密发送Post、万能密码和URL路径猜测、BurpSuite和Hydra密码爆破等。基础性文章,希望对您有所帮助!
XSS挑战赛(xsslabs)1~10关通关解析
黄乔国PHP
03-06 957
XSS挑战赛,里面包含了各种XSS的防御方式和绕过方式,好好掌握里面的绕过细节,有助于我们更好的去发现XSS漏洞以及XSS的防御。本文更多的是分享解析的细节,不是一个标准的答案,希望大家在渗透的时候有更多的思维。
xss闯关挑战
11-09
这个是XSS闯关文件,解压后放在服务器的对应文件夹即可。 闯关笔记我博客中有记录,新手可以参考。 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。
XSS漏洞靶场闯关
最新发布
m0_65858385的博客
08-17 1047
boomer=<a id=ok href="javascript:alert(1337)">这里的意思是我们a这个标签,id=ok使得让后面href中的代码放在ok中2秒后自动执行,但这里我们使用的javascript没有任何变化是这个不在白名单内,我们就可以使用这个框架中的白名单中的一些协议,我在github中查到的有mailto、tel、cid、sms等……在action这里存在一个尾协议的事情,。",这里jeff=后面跟的可以为其他的都没关系,主要是后面要进行一个闭合执行我们的alert(1337)
XSS挑战
贝隆的博客
02-05 378
XSS挑战
XSS挑战之旅
weixin_41182861的博客
09-26 2036
level-1 在“name=”后面写什么,网页就显示什么。 *查看源码,发现写入的数据在<>标签的外面,那么name的值直接换成JS: <script>alert(1)</script> <svg/onload=alert(1)> <script>confirm(1)</script> <script>prompt(1)</script> level-2 此处为搜索型的xss,分析代码,使用的是get
XSS 挑战
ST0new的博客
08-27 252
XSS 挑战@[TOC](XSS 挑战)前言挑战寻找类型是undefined的对象总结 前言 看到一篇有趣的帖子,是Gareth Heyes分享的一个有趣的xss 挑战,帖子的内容如下: <script> function solve(obj, property){ if(typeof obj === 'undefined') { obj[property].innerHTML = '<img src=1 onerror="alert(`You win`)">
360影视双端H5源码V2_V2_影视h5源码_影视APP_影视双端源码_
10-03
360影视双端H5源码V2的出现,为开发者提供了一个简单易用、功能完善的解决方案,使得即使是对编程不甚了解的小白也能轻松搭建自己的影视APP。这个源码不仅适用于移动设备,还支持Web端,实现了真正意义上的双端同步...
[网络安全自学篇] 二十一.GeekPwn 2019极客大赛之安全攻防技术总结及ShowTime
杨秀璋的专栏
11-04 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。这篇文章主要分享作者10月24日参加上海GeekPwn极客大赛的体会,包括各种安全技术、ShowTime及疑惑。作者尽量还原当时的现场情景,以观众第一视角,带着网络安全初学者的无数疑问,并查询资料分享一些技术点。写这篇文章不容易,花费了两部手机电量,许多笔记、照片和资料完成,希望您喜欢,不喜勿喷~
xss挑战
dahege666的博客
12-29 487
目录 level1 level2 level3 level4 level5 level6 level7 level8 level9 level10 level11 level12 level13 level14 level15 level16 level17 level1 签到题没有任何过滤,可直接在参数后添加测试exp进行弹窗。 192.168.88.112:8091/level1.php?name=test<script>alert(1)</sc
XSS挑战
D.MIND 的博客
03-14 693
前言: 对于我这种XSS小白(不对,把"XSS"去掉)还是能学到不少基础知识的 Here We GO! 练习地址:https://xss.haozi.me/#/0x00 0x00 function render (input) { return '<div>' + input + '</div>' } 放在<div>中,直接就: <script>alert(/1/)</script> 0x01 function render (input
xss挑战心得(简单易懂)
xtx4506的博客
03-09 1891
作为一个呢刚刚学习web渗透的小菜鸟,一开始也是在老师的带领下接触到了xss挑战,个人感觉是很经典的题目嗷,以后就会在这里进行再学习了,这两天挑战也是记录了不少,所以希望可以记录下来,菜鸟的自我记录,大神勿喷噢 ---------------------------------------------------------------------------------------------------------------------- level 1 相信不少人和我一样看到...
XSS挑战小游戏
qq_25899635的博客
10-10 658
** XSS小游戏 找到了一个xss练习平台,在线地址:http://test.xss.tv/ 实验环境也可以本地搭建,不过需要php+mysql的环境: xss通关小游戏:https://pan.baidu.com/s/1zS2GwTNbMBXEF2yNEBeLgA 密码:85g8 ** lvevel1: 通过查看右边源码发现$str从url接收一个get型name参数,且并没有进行任何过滤...
Breach-2_final2.1_xss挑战上线:实战演示与攻防策略
在"一起打靶-Breach-2_final2.1.xss上线"这个挑战中,Breach-2.0 是一个实战型的Boot2Root/CTF(Capture The Flag)游戏,它的目标是通过一系列的真实世界场景和意想不到的转折来展示安全攻击和防御的过程。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值