当前位置: 首页 > news >正文

Xss-labs 1-8关的初步通关

news 2025/7/18 5:22:14

Xss-labs 1-8关的初步通关

  • 第一关
  • 第二关
  • 第三关
  • 第四关
  • 第五关
  • 第六关
  • 第七关
  • 第八关

第一关

在这里插入图片描述
典型的反射型XSS,在URL找到name后使用即可触发弹窗在这里插入图片描述

第二关

在这里插入图片描述
随便输入一个值发现值被添加到了value属性中
在这里插入图片描述
所以采用与input标签闭合的方式使用">
在这里插入图片描述

第三关

在这里插入图片描述
与第二关界面类似,尝试闭合后发现关键字被编码失效了

在这里插入图片描述
尝试通过JavaScript伪协议执行js代码使用’ onfocus=javascript:alert(‘xss’) >点击输入框触发
在这里插入图片描述

第四关

在这里插入图片描述

依然与前两关类似,首先尝试合并然后查看源码在这里插入图片描述
发现闭合符号变成双引号,那么依然使用JavaScript伪协议" onfocus=javascript:alert(‘xss’)//来触发
在这里插入图片描述

第五关

在这里插入图片描述
界面与前类似,尝试合并
在这里插入图片描述
发现script被编码
尝试伪协议
在这里插入图片描述
发现onfocus也被编码
那么尝试闭合后使用a标签写入链接,点击链接后成功
在这里插入图片描述

第六关

在这里插入图片描述
直接尝试a标签写入链接

在这里插入图片描述
发现href被编码尝试大小写绕过,简简单单

第七关

在这里插入图片描述
直接尝试a标签写入链接
在这里插入图片描述
发现例如script,on,href关键词被过滤
尝试双写绕过,成功
在这里插入图片描述

第八关

在这里插入图片描述
直接尝试a标签写入链接
在这里插入图片描述
发现关键词被编码,同时发现输入的值是一个跳转链接
在这里插入图片描述
尝试直接从跳转链接下手
在这里插入图片描述
发现会对关键词过滤,尝试大小写双写绕过
在这里插入图片描述

在这里插入图片描述
皆无法绕过,尝试将JavaScript伪协议进行unicode编码后再插入
在这里插入图片描述
输入javascript:alert(‘xss’),成功在这里插入图片描述

http://www.dtcms.com/a/283626.html

相关文章:

  • 【Linux系统】进程地址空间
  • 时序数据库选型指南 —— 为什么选择 Apache IoTDB?
  • Qt Quick 粒子系统详解
  • 数据呈现高阶技巧:散点图与桑基图的独特价值
  • 从零开始学 Linux 系统安全:基础防护与实战应用
  • 12.9 Mixtral-8x7B核心技术解密:如何用1/3参数实现4倍推理速度碾压LLaMA2?
  • 取消office word中的段落箭头标记
  • 多方案对比分析:后端数据加密策略及实践
  • 菜单权限管理
  • 【Linux】LVS(Linux virual server)
  • zabbix安装(docker-compose)
  • 若依框架开启注册功能全流程指南
  • I3C Host Adapter Pro+ (3)
  • 36.在列表或字典中查找匹配项
  • CrewAI与LangGraph:下一代智能体编排平台深度测评
  • 数据分析全流程指南:从明确目标到数据呈现的实操方法论
  • Kiro vs Cursor: AI IDE 终极对比指南
  • github不能访问怎么办
  • mac OS上docker安装zookeeper
  • 3t车用手动卧式千斤顶设计含8张CAD图纸PDF图
  • 有n棍棍子,棍子i的长度为ai,想要从中选出3根棍子组成周长尽可能长的三角形。请输出最大的周长,若无法组成三角形则输出0。
  • 优先队列的实现
  • 基础算法题
  • 批判式微调(CFT):原理、架构与高效推理训练新范式
  • 基于vue + Cesium 的蜂巢地图可视化实现
  • 学习OpenCV---显示图片
  • 全局异常处理
  • 图示+例子 深入理解 前向反向传播
  • NodeJS Express+Sequelize实现单个模块的增删改查功能
  • 数据集相关类代码回顾理解 | utils.make_grid\list comprehension\np.transpose