Pikachu靶场:XSS过滤

最新推荐文章于 2024-06-17 14:41:46 发布
最新推荐文章于 2024-06-17 14:41:46 发布
阅读量803 收藏 3
点赞数
分类专栏: Pikachu靶场实战 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/witwitwiter/article/details/115798153
版权

Pikachu靶场:XSS过滤

实验环境以及工具

Firefox浏览器、Burp Suite、Pikachu靶场

实验原理

0,前端限制绕过,直接抓包重放,或者修改html前端代码

1,大小写,比如:

<SCRIPT>aLeRT(111)</sCRIpt>

2,拼凑:

<scri<script>pt>alert(111)</scri</script>pt>

3,使用注释进行干扰:

<scri<!--test-->pt>alert(111)</sc <!--test--> ript>

具体步骤

1.找到注入点进行输入尝试

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oTqejQbS-1618650174628)(C:\Users\freedom\AppData\Roaming\Typora\typora-user-images\image-20210417154154294.png)]

尝试弹窗

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hdHwgXC2-1618650174631)(C:\Users\freedom\AppData\Roaming\Typora\typora-user-images\image-20210417154346486.png)]

发现什么也没发生

2.尝试绕过

改动下大小写

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pjedpi6l-1618650174632)(C:\Users\freedom\AppData\Roaming\Typora\typora-user-images\image-20210417154723490.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-drqhpeLm-1618650174634)(C:\Users\freedom\AppData\Roaming\Typora\typora-user-images\image-20210417155030985.png)]

说明过滤了小写的

<script></script>

总结

XSS的绕过姿势很多,取决于个人的思路和前端技术的掌控程度。

suqerbrave
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pikachu靶场全部通关.pdf
08-16
由于在有道云写的,不好发博客,只能这样子,个人结合B站视频,总结
Pikachu靶场-xss详解
qq_53083285的博客
10-30 7578
Picachu靶场-xss跨站脚本漏洞概述跨站脚本漏洞类型及测试流程反射型XSS(post&get)存储型XSSDom型XSSxss-获取cookiexss-进行钓鱼xss-获取键盘记录xss盲打xss过滤和绕过xss输出在href和js中的案例xss的防范措施 XSS-跨站脚本漏洞目录 跨站脚本漏洞概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 2.存储型XSS;
Pikachu靶场XSS漏洞详解
热门推荐
m0_46467017的博客
05-13 1万+
Pikachu靶场XSS漏洞详解前言XSS漏洞简述第1关 反射型xss(get)第2关 反射性xss(post)第3关 存储型xss第4关 DOM型xss第5关 DOM型xss-x第6关 xss盲打第7关 xss过滤第8关 xss之htmlspecialchars第9关 xss之href输出第10关 xss之js输出 前言 本篇文章用于巩固对自己xss漏洞的学习总结,其中部分内容借鉴了以下博客。 链接: pikachu XSS Cross-Site Scripting皮卡丘漏洞平台通关系列 链接: P
Pikachu靶场--XSS
最新发布
qq_65150735的博客
06-17 1198
Pikachu靶场--XSS跨站脚本
pikache靶场通关——XSS漏洞
p36273的博客
06-17 3369
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。反射性XSS;存储型XSS;DOM型XSS;XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理,导致“精心构造”的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害。输入过滤:对输入进行过滤,不允许可能导致XSS攻击的字符输入;输出转义:根据输出点的位置对输出到前端的内容进行适当转义;
十四、pikachuXSS
qq_55202378的博客
08-26 1026
pikachu XSS
pikachu靶场练习——XSS详解
qq_42176496的博客
09-04 2741
pikachu靶场 XSS详解
web渗透教程1:pikachu靶场搭建
11-17
带你手把手搭建pikachu靶场环境
pikachu靶场全通关教程
07-20
这个是刚开始学网络安全渗透的靶场练习心得,分享给大家
pikachu靶场环境
02-12
在"Pikachu靶场"中,用户通常会遇到各种网络安全挑战,包括但不限于Web应用漏洞挖掘(如SQL注入、XSS跨站脚本攻击、文件包含漏洞等)、网络服务漏洞利用(如FTP、SMTP、SSH等服务的漏洞)、密码学概念应用(如加密与...
pikachu靶场SQL注入.docx
09-13
"Pikachu靶场SQL注入" Pikachu靶场SQL注入是针对Web应用程序的一种攻击手段,通过对Web应用程序的输入参数进行tampering,来达到访问数据库的目的。下面是Pikachu靶场SQL注入的详细知识点: 一、数字型注入(POST...
靶场实战】Pikachu靶场XSS跨站脚本关卡详解
晚风不及你
02-01 1332
Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为反射性XSS、存储型XSS、DOM型XSSXSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。
pikachuxss过滤、htmlspecialchars
Resets_的博客
09-12 900
pikachu xss过滤、htmlspecialchars
PikachuXSS
weixin_48621644的博客
10-14 3130
小羊学安全 任重而道远~
Pikachu靶场——XSS漏洞(Cross-Site Scripting)
来日可期的博客
10-07 1321
跨站点脚本(Cross Site Scripting,XSS)是指客户端代码注入攻击,攻击者可以在合法网站或Web应用程序中执行恶意脚本。当wb应用程序在其生成的输出中使用未经验证或未编码的用户输入时,就会发生XSS
pikachu靶场-xss过滤绕过
qq_65240014的博客
09-16 204
a肯定行不通中间的关键字都会被过滤。有意思的事情发生了,输入的alert(/xss/)只剩下了 >,说明script和alert相关的关键字都被过滤掉了,替换成空字符,并且剩下的>也被实体化了。则我们可以构造语句a
pikachuXSS分类、场景(钓鱼、盲打、过滤
m0_59856804的博客
12-20 1300
Xss pikachu 保存型xss 反射型、DOM型 xss钓鱼 Xss盲打 XSS过滤 XSS之htmlspecialchars Htmlspecialchars()函数 XSS之href输出 防范措施: 21
pikachu靶场XSS漏洞通关
Zqinglele的博客
04-19 2143
存储型是将攻击者在留言板等输入框中输入的恶意代码直接存入数据库中,由于数据库不识别js代码,一旦有用户打开存有恶意代码的网页界面,那么恶意代码就会被从数据库中读出,是一类危害最大的xss攻击。dom型又称self-xss,攻击者利用dom节点的结构在网页中插入一段恶意代码,这段代码被简单处理或未处理后又在网页中的一个位置显示出来,攻击过程中所有恶意代码均在前端执行。在用户点击被攻击者插入恶意代码的网页链接后,恶意代码在被攻击者的网页中被执行。尝试插入payload,发现是有长度限制,不能把这句完整插入。
写一个python脚本检测pikachu靶场xss过滤
06-03
对于这个问题,需要先了解Pikachu靶场XSS过滤机制。Pikachu靶场使用了一种基于DOM的XSS防御机制,将用户输入的内容解析为DOM节点,然后对节点的属性进行过滤和转义,最终输出到页面上。 为了检测Pikachu靶场XSS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值