![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
XSS闯关
xiayun1995
这个作者很懒,什么都没留下…
展开
-
XSS闯关游戏——准备阶段及一些xss构造方法
请先下载XSS闯关文件,解压后放在服务器的对应文件夹即可 在该闯关中,会在网页提示一个payload数值payload,翻译过来是有效载荷通常在传输数据时,为了使数据传输更可靠,要把原始数据分批传输,并且在每一批数据的头和尾都加上一定的辅助信息,比如数据量的大小、校验位等,这样就相当于给已经分批的原始数据加一些外套,这些外套起标示作用,使得原始数据不易丢失,一批数据加上“外套”就形...原创 2018-11-09 21:37:06 · 822 阅读 · 0 评论 -
XSS闯关——第一关:level1
第一关:level1 这里的payload为4,查看地址栏与之对应的传参为test 页面没有输入的地方,所以可以直接在地址框注入JavaScript脚本 回车过关: ...原创 2018-11-09 21:39:44 · 2165 阅读 · 2 评论 -
XSS闯关——第二关:level2
第二关:level2 输入框内字符为test,屏幕上方提示 所以输入的test被全部传入,payload为4右键查看网页源代码分析所以这里需要先将value属性闭合,然后使用javascript脚本调出alert函数过关//输入代码回车"><script>alert('yes')</script> 回车...原创 2018-11-09 21:43:00 · 1992 阅读 · 0 评论 -
XSS闯关——第三关:level3
第三关:level3 看页面和第二关类似,先用第二关的输入测试: "><script>alert('yes')</script> 可惜没有成功,毕竟是第三关,在第二关上肯定有所升级查看当前网页的源代码分析可以发现我们的输入被后台改成了如下内容:输入的 " > < 被做了转义处理,变成了&quo...原创 2018-11-09 21:46:53 · 6372 阅读 · 0 评论 -
XSS闯关——第四关:level4
第四关:level4 输入<script>alert('yes')</script>测试: 结果如下: 这里发现输入框中的内容与我们输入内容不一样,查看网页源代码:也是过滤问题,用第三关的方法测试,输入下语句:" oninput="alert('yes') 然后在框中输入数据,闯关成功! ...原创 2018-11-09 21:48:20 · 2385 阅读 · 0 评论 -
XSS闯关——第五关:level5
第五关:level5输入语句测试"> <script>alert('yes')</script>观察源代码发现字符被替换把部分字符换成大写尝试"> <sCRipt>alert('yes')</scRipt> 一样的结果 采用html事件方法:失败 同样是字符被替换...原创 2018-11-09 21:51:14 · 3798 阅读 · 0 评论 -
XSS闯关——第六关:level6
第六关:level6输入' " > 测试input value属性使用的符号文本框中出现' 说明value使用的是""(双引号)输入"> <script>alert('yes')</script>测试失败同时发现,我们输入的内容长度为32,但是提示的payload长度为33查看网页源代码: 试试HTML oninp...原创 2018-11-09 21:54:30 · 1592 阅读 · 0 评论 -
XSS闯关——第七关:level7
第七关:level7输入 ' " > 测试结果:可以判断前面是 "输入 "> <script>alert('yes')</script> 测试"> <script>alert('yes')</script>//这行代码32个字符没有生效,提示payload长度为20,但是我原创 2018-11-09 22:00:30 · 1692 阅读 · 5 评论