pikachu靶场第九关——XSS(跨站脚本)之DOM型xss.x(附代码审计)

最新推荐文章于 2024-05-06 12:53:36 发布
最新推荐文章于 2024-05-06 12:53:36 发布
阅读量369 收藏
点赞数 3
分类专栏: pikachu靶场 文章标签: xss 前端 javascript 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yzasts/article/details/136909151
版权
本文详细描述了一段JavaScript代码,展示了如何通过跨站脚本(XSS)利用用户输入在源代码中执行恶意代码,涉及GET请求中的参数显示和DOM操作。提醒了开发者对输入验证和安全性的重视。
摘要由CSDN通过智能技术生成

源代码:

 <div id="xssd_main">
                <script>
                    function domxss(){
                        var str = window.location.search;
                        var txss = decodeURIComponent(str.split("text=")[1]);
                        var xss = txss.replace(/\+/g,' ');
//                        alert(xss);

                        document.getElementById("dom").innerHTML = "<a href='"+xss+"'>就让往事都随风,都随风吧</a>";
                    }
                    //试试:'><img src="#" onmouseover="alert('xss')">
                    //试试:' onclick="alert('xss')">,闭合掉就行
                </script>
                <!--<a href="" onclick=('xss')>-->
                <form method="get">
                <input id="text" name="text" type="text"  value="" />
                <input id="submit" type="submit" value="请说出你的伤心往事"/>
                </form>
                <div id="dom"></div>
            </div>

这一关和上一关是一样的,唯一的区别是

<form method="get">

get输入的值会在url上显示出来。

这里就不多说了,大家可以看上一关的攻略。

hacker苏序
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Pikachu靶场XSS跨站脚本)演示(含代码审计
G6_12的博客
08-06 281
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS
sql和xss靶场资料包.zip
12-21
bWAPP latest.zip DVWA-master.zip pikachu-master.zip sqli-labs-master.zip upload-labs-master-21.zip xss小游戏.Zip xxe-lab-masteri靶场.rar PhpStudy20180211.zip vc9x86(必装).eXe vc11 x86.exe
pikachu靶场第八——XSS跨站脚本)之DOMxss代码审计
yzasts的博客
03-20 844
简单来说DOM文档就是一份XML文档,当有了DOM标准之后,DOM便将前端html代码化为一个树状结构,方便程序和脚本能够轻松的动态访问和更新这个树状结构的内容、结构以及样式,且不需要经过服务端,所以DOMxss在js前端自己就可以完成数据的输入输出,不与服务器产生交互,这样来说DOMxss也可以理解为反射性xss。onkeypress当键盘上的某个键被按下并且释放时触发的事件.[注意:页面内必须有被聚焦的对象]onkeyup 当键盘上某个按键被按放开时触发的事件[注意:页面内必须有被聚焦的对象]
XSS Challenges 靶场解析
最新发布
Flag少侠的博客
05-06 2048
XSS Challenges(跨站脚本攻击挑战)是一种用于学习和测试跨站脚本XSS)漏洞的实验性平台。这些挑战旨在帮助安全研究人员和开发人员了解XSS漏洞的工作原理、检测方法和防御技巧。通常,XSS Challenges平台提供一系列不同级别和类XSS漏洞场景,参与者需要利用这些漏洞实现特定的攻击目标。这些挑战可以包括在网页输入框中注入恶意脚本、利用DOM(文档对象模)漏洞执行JavaScript代码等。参与者需要通过分析和利用漏洞,成功地触发XSS漏洞并实现攻击目标,从而完成挑战。
PikachuXSS(含代码审计
G6_12的博客
08-07 233
前面的反射XSS、存储XSSDOMXSS链接:https://blog.csdn.net/G6_12/article/details/132123012。
pikachu domxss
sleepywin的博客
04-24 53
打开源代码,查找一下what do you see?输入的字符串被拼接到a标签中。构成a标签闭合,且嵌入了弹窗。判断是否存在xss漏洞。
pikachu--xss
鲨鱼辣椒的博客
05-12 4401
XSS概述 XSS全称跨站脚本(Cross Site Scripting)是web中最为常见的漏洞之一,也是危害特别大的一种漏洞,一直高居漏洞排行榜的前几名。XSS漏洞的成因是没有对WEB前端的输入边界尽心严格的过滤,造成攻击者可以通过构造脚本语言使得输入的内容被当成正常的HTML来执行(类似于SQL注入),从而产生危害。xss漏洞危害的对象主要是前端用户,并且可以用来进行钓鱼、前端js挖矿、用户cookie获取、甚至可以结合浏览器自身的漏洞对主机进行远程控制等。 XSS(窃取cookie)攻击流程 .
pikachu靶场全部通.pdf
08-16
由于在有道云写的,不好发博客,只能这样子,个人结合B站视频,总结
pikachu靶场SQL注入.docx
09-13
"Pikachu靶场SQL注入" Pikachu靶场SQL注入是针对Web应用程序的一种攻击手段,通过对Web应用程序的输入参数进行tampering,来达到访问数据库的目的。下面是Pikachu靶场SQL注入的详细知识点: 一、数字注入(POST...
pikachu-xss.txt
06-10
pikachu-xss
pikachu靶场环境
02-12
在"Pikachu靶场"中,用户通常会遇到各种网络安全挑战,包括但不限于Web应用漏洞挖掘(如SQL注入、XSS跨站脚本攻击、文件包含漏洞等)、网络服务漏洞利用(如FTP、SMTP、SSH等服务的漏洞)、密码学概念应用(如加密与...
XSS-labs靶场实战(四)——第9-11
永远是少年
11-18 597
今天继续给大家介绍渗透测试相知识,本文主要内容是XSS-labs靶场实战第9-11。 一、第九 二、第十 三、第十一
[网络安全]xss-labs level-9 解题详析
等风来
08-04 2441
以上为[网络安全]xss-labs level-9 解题详析,后续将分享[网络安全]xss-labs level-10 解题详析。我是秋说,我们下次见。
XSS-9注入靶场(小游戏)——第九
qq_39330735的博客
02-04 583
XSS-9注入靶场(小游戏)——第九,绕过后台字符串过滤,找出过滤条件,夹带过滤条件进行Payload
xss-labs靶场
m0_70349048的博客
02-27 1207
我们发现,当我们更改name等于不同的值时,有不同的返回结果,因此在这里可能有xss漏洞然后直接进行测试,在name后面加入xss攻击语句。
XSS-labs靶场秘籍(level 9-12)
qq_45741871的博客
09-21 1351
xss-labs靶场秘籍
xss靶场(1-10)
weixin_62884797的博客
03-09 431
首先,我们要了解什么的xss漏洞, xss,通俗的来讲,就是在HTML页面中,插入一些语句,使得后台能够运行我们插入进去的语句,从而攻击别人 第一,这一最为简单,只是去寻找最简单的交互点。 第一个交互点那当然是URL中了。 首先,我们要如何插入进去这条语句。要知道在h5中,绝大多数都是闭合的,也就是一对尖括号。但我们要是在插入点中输入一个">,这样就会使得程序认为已经闭合,后面的便在执行。 我们这时在插入一个js弹窗,便成功的攻击成功。 第二 第二这里,多出来一个输入框,这
pikachuxss靶场详细通教程
qq_49502930的博客
11-18 8589
发的 提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表
pikachu靶场domxss
08-16
Pikachu靶场是一个用于漏洞测试的平台,而DOMXSS跨站脚本攻击)是一种利用网页中的DOM(文档对象模)进行攻击的方式。在DOMXSS攻击中,攻击者通过注入恶意脚本来篡改网页的行为,使其执行攻击者预期的操作。 在Pikachu靶场中,你可以使用DOMXSS来测试网页应用程序的安全性。你可以尝试在输入框或其他用户可控制的区域注入一些恶意的脚本代码,然后观察应用程序的反应和是否存在漏洞。 需要注意的是,参与靶场活动时请确保遵守合法和道德规范,并获得合法的授权来进行测试。未经授权的攻击行为可能会违反法律,并对系统和用户造成损害。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hacker苏序

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值