【xss-labs-master】靶场通关详解!-----持续更新

XSS基础概念:

跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击!

XSS主要分为DOM型、反射性、存储型其中存储型漏洞为还是最致命的。

------------------------------------

less1 :

xss漏洞执行是通过向web页面插入JavaScript恶意代码,待用户浏览该页面时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。

我们将name作为参数,通过修改它看看页面是否变化----------->>>可以看到从test变成了MU

在name参数上尝试用简单的JS代码进行XSS攻击,看到下面代码执行成功

复制代码
?name=<script>alert(1)</script>

----------------------------------------------

less2:

我们还是执行简单JS代码试试看,发现没有相关提示

查看网页源代码,看看有什么提示,可以看到我们执行的语句<>被过滤

尝试从标签中的属性进行突破,将属性中的><进行闭合可以用">闭合之后再使用<script>标签,话可以直接使用onclick来解决。

复制代码
"><script>alert(1)</script>
"onclick="alert(1)

-----------------------------------

less3:

相关推荐
索西引擎24 分钟前
【React】JSX:JavaScript 语法扩展的本质、编译机制与表达能力分析
前端·javascript·react.js
国科安芯8 小时前
航天电子模拟前端三大支柱:精密运放、高速运放与电压监控的协同设计方法——ASL8522S/ASL622S/ASL706S技术解析
前端·单片机·嵌入式硬件·fpga开发·架构·安全性测试
神明不懂浪漫9 小时前
【第四章】CSS(二)——文本外观属性与复合选择器
前端·css·经验分享·笔记
kyriewen9 小时前
别再用AI debug了——这5种bug越修越烂
前端·javascript·ai编程
星释10 小时前
鸿蒙智能体开发实战:39.鸿蒙壁纸大师 - 前端卡片显示与交互优化
前端·华为·交互·harmonyos·鸿蒙·火山引擎
顾昂_11 小时前
内存泄漏排查和 Chrome DevTools 使用教程
前端·javascript·面试
IT_陈寒11 小时前
Java线程池这个坑我算是踩明白了
前端·人工智能·后端
315356691312 小时前
Superpowers:GPT-5.6 时代下的流程毒瘤
前端·后端
清秋13 小时前
全网最全 ECMAScript 攻略( 更新至 ES2026)
前端·javascript·编程语言
Cao_Ron13 小时前
用 SVG image symbol 画 ECharts graph 圆形节点
前端