xss挑战心得(简单易懂)

已于 2022-03-14 20:46:13 修改
阅读量1.8k 收藏 7
点赞数 3
文章标签: xss p2p 前端
于 2022-03-09 20:31:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xtx4506/article/details/123384419
版权

作为一个呢刚刚学习web渗透的小菜鸟,一开始也是在老师的带领下接触到了xss挑战,个人感觉是很经典的题目嗷,以后就会在这里进行再学习了,这两天挑战也是记录了不少,所以希望可以记录下来,菜鸟的自我记录,大神勿喷噢

----------------------------------------------------------------------------------------------------------------------

 level 1   

   

相信不少人和我一样看到第一张图,没有可以点击和键入的地方,都是一脸懵的。先说一下,xss挑战通关条件就是能够在网页中成功弹窗即可。

level1 关卡中是没有任何键入和点击的地方的,所以只能将突破口投入网址中

 

body下是整个网页的主体内容,而修改name后的值可以更改payload的长度,所以可以将网址中name后test更换为<script>alert(/xss/)</script>,命令返回时可以弹出窗口,捕捉到弹窗 如图:

level2

可以看到level2出现了一个搜索框,在搜索框中输入值后可以发现是input函数,value后的值去,所以只需要将input函数闭合后,输出xss代码即可  "><script>alert(/xss/)</script>  如图

level3

 第三关和第二关一样,都有一个搜索框,也是input函数,所以自然而然想到将input闭合。但是输入之后不可弹窗,这时候就需要查看网页源代码

可以发现value后的值其实使用的是单引号,但是因为显示问题在页面上显示双引号,只需要将双引号修改即可 , ' οnmοuseοut='alert(/xss/)

最低0.47元/天 解锁文章
进击的腿毛
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
xss挑战(超详细小白)
weixin_64655821的博客
09-22 1339
xss挑战前十关
XSS漏洞05】XSS通关大挑战
Fighting_hawk的博客
02-25 4000
1. 通过测试语句执行情况、网页源码: 1. 判断大小于号是否过滤与转义; 2. 判断单双引号是否过滤与转义; 3. 判断关键字是否过滤与转义; 4. 判断大小写是否转化; 5. 判断语句闭合方式。 6. 额外地,可以分析是否存在其他注入点。 2. 根据判断结果,灵活构造语句与利用绕过规则。...
XSS Challenges 靶场通关解析
最新发布
Flag少侠的博客
05-06 2054
XSS Challenges(跨站脚本攻击挑战)是一种用于学习和测试跨站脚本(XSS)漏洞的实验性平台。这些挑战旨在帮助安全研究人员和开发人员了解XSS漏洞的工作原理、检测方法和防御技巧。通常,XSS Challenges平台提供一系列不同级别和类型的XSS漏洞场景,参与者需要利用这些漏洞实现特定的攻击目标。这些挑战可以包括在网页输入框中注入恶意脚本、利用DOM(文档对象模型)漏洞执行JavaScript代码等。参与者需要通过分析和利用漏洞,成功地触发XSS漏洞并实现攻击目标,从而完成挑战
XSS基础——xsslabs通关挑战
weixin_53284312的博客
02-18 3100
xss基础——xsslabs 闯关
xsschallenge1~13通关详细教程
来日可期的博客
08-25 1835
xsschallenge通关详细教程
xss挑战1-16关
m0_73033023的博客
04-09 293
经实验,它会把script,on,href直接过滤掉,这里因为它过滤掉了,我们就可以考虑它会过滤一次还是几次或是直到没有为止,这里就可以用双写href来绕过,(记住,双写或多写的触发条件是对面过滤了敏感字符,而不是动不动用双写绕过,你的绕过思路要取决于对面的防御措施,而不是什么都不管,就全部用上!因为没有输入口,只能从URL入手,参数keyword对输入的"><做了过滤,显然不能利用了。尝试发现他对是否有http://进行判断,如果不存在http://则判断非法,所有在后面加一个http即可。
xss闯关挑战
11-09
这个是XSS闯关文件,解压后放在服务器的对应文件夹即可。 闯关笔记我博客中有记录,新手可以参考。 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如...
xss-labs挑战(一) 1
08-08
XSS-labs 挑战(一)1 的安装非常简单,只需要将源码下载下来,并将其放置在自己搭建好的 www 目录下,然后就可以开始闯关了。 Level 1 无过滤机制 Level 1 是 XSS-labs 挑战(一)1 的第一个挑战。在这个挑战中,...
xss game挑战笔记.pdf
02-11
### XSS Game挑战笔记知识点概述 #### 一、XSS攻击简介 XSS(Cross Site Scripting)即跨站脚本攻击,是一种常见的Web应用程序安全漏洞。攻击者通过在Web页面中注入恶意脚本代码,当用户浏览该页面时,嵌入其中的...
xss-board:使用 Zombie.js 的简单 XSS 挑战示例
06-13
这是使用 Zombie.js ( ) 进行简单 XSS 挑战的示例。 机器人将每三分钟访问一次网站(取决于下面的 crontab 设置)并执行它找到的所有 Javascript 代码。 配置它 调整 cookie ('mag1c_c00k1e') 和标志 ('put_flag_...
免费蓝莲花Bluelotus,XSS工具网安
08-14
【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】...
xsschallenge通关攻略详解
一个努力学习网安的小牛马
11-12 558
简述xsschallenge挑战攻略ps:终极测试代码IPT</查看源代码CTRL+U。
初学者xss-labs通关挑战1-5
haoahaoahaoahao的博客
03-11 870
在加上"> xssalert(/xss/)的alert( )括号的内容可输入不同的内容。这青色的vlaue的值为"alert(/xss/)
XSS挑战
→_→
08-19 572
声明:以下内容均来自“实验吧”免费公益渗透平台,该平台至今仍旧在维护,估计~~,为此把以前保留的笔记拿来分享下。 [实验目的] 1) 理解XSS的含义 2) 了解XSS的形成原因 3) 通过URL传递参数构造XSS弹框 [实验原理] 1) XSS( Cross Site Scripting)恶意攻击者往Web页面里插入恶意htm代码,当用户浏览该页之时,嵌入其中Web里面的htm代码会被执行,从而达到恶意用户的特殊目的。XSS攻击分成两 类,一类是来自内部的攻击...
050 XSS通关小游戏——xss challenge
鸡蛋炒鸡蛋
03-05 5684
文章目录一:下载与部署二:通关过程首页level-01level-02level-03level-04level-05level-06level-07level-08level-09 一:下载与部署 xss challenge是个有关反射型xss的测试通关挑战,一共有20关。 下载地址:xss challenge (访问密码:donMkh) 下载之后解压,把得到的文件夹放在phpstudy的www文件夹下即可   二:通关过程 这个是我自己的通关方法,不一定很准确 首页 level-01 点击
XSS挑战的测试
daxi0ng的博客
03-19 1928
XSS挑战地址:http://xss.tesla-space.com/ 参考两篇文章: 一、https://xz.aliyun.com/t/1206 二、https://www.cnblogs.com/r00tuser/p/7407459.html 总结来说绕过姿势: 1、闭合前面的标签,后面构造xss语句 2、过滤尖括号 用事件来弹窗 ' oninput=alert`1` //...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值