pikachu靶场第七关——XSS(跨站脚本)之存储型xss(附代码审计)

最新推荐文章于 2024-04-19 19:30:00 发布
最新推荐文章于 2024-04-19 19:30:00 发布
阅读量208 收藏 1
点赞数 2
分类专栏: pikachu靶场 文章标签: xss 前端 javascript 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yzasts/article/details/136837511
版权

源代码

 <?php echo $html;
                    $query="select * from message";
                    $result=execute($link, $query);
                    while($data=mysqli_fetch_assoc($result)){
                        echo "<p class='con'>{$data['content']}</p>

这里造成xss漏洞的主要原因在留言框中

它将输入的text值嵌入到了html代码中。

输入111<script>alert("xss")</script>

这样哪怕刷新,只要没有删除,xss会一直重复出现,这就是存储型xss。

hacker苏序
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
sql和xss靶场资料包.zip
12-21
bWAPP latest.zip DVWA-master.zip pikachu-master.zip sqli-labs-master.zip upload-labs-master-21.zip xss小游戏.Zip xxe-lab-masteri靶场.rar PhpStudy20180211.zip vc9x86(必装).eXe vc11 x86.exe
pikachu靶场全部通.pdf
08-16
由于在有道云写的,不好发博客,只能这样子,个人结合B站视频,总结
pikachu靶场XSS漏洞通
最新发布
Zqinglele的博客
04-19 1747
存储是将攻击者在留言板等输入框中输入的恶意代码直接存入数据库中,由于数据库不识别js代码,一旦有用户打开存有恶意代码的网页界面,那么恶意代码就会被从数据库中读出,是一类危害最大的xss攻击。dom又称self-xss,攻击者利用dom节点的结构在网页中插入一段恶意代码,这段代码被简单处理或未处理后又在网页中的一个位置显示出来,攻击过程中所有恶意代码均在前端执行。在用户点击被攻击者插入恶意代码的网页链接后,恶意代码在被攻击者的网页中被执行。尝试插入payload,发现是有长度限制,不能把这句完整插入。
pikachu靶场网盘下载
04-01
pikachu是一个漏洞练习平台。其中包含了常见的web安全漏洞,如果你是一个渗透测试学习者没有靶场练手,那么pikachu将是一个不错的选择。
pikachu靶场全通教程
07-20
这个是刚开始学网络安全渗透的靶场练习心得,分享给大家
pikachu靶场环境
02-12
pikachu靶场环境
pikachu靶场--XSS--反射性/存储/DOMXSS【2.1】~【2.5】
lmei1228的博客
05-31 538
输入内容#'onclick="alert(111)">,构造闭合,在div里面通过我们的DOM的方法去获取到这个输入,然后再输出到div里面,但是它输入后既不会在URL里面,也不会被后台存储,因此在该场景下比较鸡肋。另一种场景就是,第一次输入后,会把输入的内容显示在URL中,然后后台把从URL中获取信息,将其赋值给a标签,点一下a标签,就会把其中的内容写到div里面,点击div对应的字段,即可执行脚本。同样也是先输入一些单引号双引号尖括号等特殊字符,submit之后,被原样输出,说明存在XSS漏洞,如。
PikachuXSS
weixin_48621644的博客
10-14 3036
小羊学安全 任重而道远~
pikachu---xss练习1
ptxybird的博客
06-24 758
xss
XSS-7注入靶场(小游戏)——第七
qq_39330735的博客
02-04 172
XSS-7注入靶场(小游戏)——第七,双写绕过
Pikachu靶场存储XSS
witwitwiter的博客
04-16 2384
Pikachu靶场存储XSS 实验环境以及工具 Firefox浏览器、Burp Suite、Pikachu靶场 实验原理 ●存储 交互的数据会被存在在数据库里面,永久性存储,一般出现在留言板,注册等页面。 形成XSS漏洞的主要原因是程序对输入和输出的控制不够严格,导致“精心构造”的脚本输入后,在输到前端时被浏览器当作有效代码解析执行从而产生危害。存储XSS漏洞跟反射形成的原因一样,不同的是存储XSS下攻击者可以将脚本注入到后台存储起来,构成更加持久的危害,因此存储XSS也称“永久XSS
web渗透教程1:pikachu靶场搭建
11-17
带你手把手搭建pikachu靶场环境
pikachu靶场SQL注入.docx
09-13
"Pikachu靶场SQL注入" Pikachu靶场SQL注入是针对Web应用程序的一种攻击手段,通过对Web应用程序的输入参数进行tampering,来达到访问数据库的目的。下面是Pikachu靶场SQL注入的详细知识点: 一、数字注入(POST...
Pikachu靶场入门之反射存储XSS
qq_45754781的博客
06-03 1143
XSS入门之Pikachu反射、存储XSS靶场
pikachu-xss
weixin_44477223的博客
11-11 384
1. xss -跨站脚本攻击 1.1 XSS简单介绍 XSS是一种发生在Web前端的漏洞,所以其危害的对象也主要是前端用户 XSS漏洞可以用来进行钓鱼攻击、前端js挖矿、盗取用户cookie,甚至对主机进行远程控制 1.1.1 攻击流程 假设存在漏洞的是一个论坛,攻击者将恶意的JS代码通过XSS漏洞插入到论文的某一页面中 当用户访问这个页面时,都会执行这个恶意的JS代码,这个代码就会在用户的浏览器端执行 1.1.2 XSS攻击类 危害:存储 > 反射 > DOM 反射:交互的数据一般
pikachu--xss
鲨鱼辣椒的博客
05-12 4277
XSS概述 XSS全称跨站脚本(Cross Site Scripting)是web中最为常见的漏洞之一,也是危害特别大的一种漏洞,一直高居漏洞排行榜的前几名。XSS漏洞的成因是没有对WEB前端的输入边界尽心严格的过滤,造成攻击者可以通过构造脚本语言使得输入的内容被当成正常的HTML来执行(类似于SQL注入),从而产生危害。xss漏洞危害的对象主要是前端用户,并且可以用来进行钓鱼、前端js挖矿、用户cookie获取、甚至可以结合浏览器自身的漏洞对主机进行远程控制等。 XSS(窃取cookie)攻击流程 .
pikachu靶场第八——XSS跨站脚本)之DOMxss代码审计
yzasts的博客
03-20 799
简单来说DOM文档就是一份XML文档,当有了DOM标准之后,DOM便将前端html代码化为一个树状结构,方便程序和脚本能够轻松的动态访问和更新这个树状结构的内容、结构以及样式,且不需要经过服务端,所以DOMxss在js前端自己就可以完成数据的输入输出,不与服务器产生交互,这样来说DOMxss也可以理解为反射性xss。onkeypress当键盘上的某个键被按下并且释放时触发的事件.[注意:页面内必须有被聚焦的对象]onkeyup 当键盘上某个按键被按放开时触发的事件[注意:页面内必须有被聚焦的对象]
XSS-labs 1-13攻略
qq_57861415的博客
01-31 1406
xsslabs 1-13攻略
XSS-Labs靶场“6-10”教程
钟言的博客
03-06 7524
本篇为XSS-Labs靶场的第6-10教程,详细内容包含了第六 大小写绕过、第七 双写绕过三、第八 URL编码绕过四、第九 http://判断五、第十 隐藏参数绕过等内容
pikachu靶场domxss
08-16
Pikachu靶场是一个用于漏洞测试的平台,而DOMXSS跨站脚本攻击)是一种利用网页中的DOM(文档对象模)进行攻击的方式。在DOMXSS攻击中,攻击者通过注入恶意脚本来篡改网页的行为,使其执行攻击者预期的操作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hacker苏序

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值