【xss-labs-master】靶场通关详解!-----持续更新

XSS基础概念:

跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击!

XSS主要分为DOM型、反射性、存储型其中存储型漏洞为还是最致命的。

------------------------------------

less1 :

xss漏洞执行是通过向web页面插入JavaScript恶意代码,待用户浏览该页面时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。

我们将name作为参数,通过修改它看看页面是否变化----------->>>可以看到从test变成了MU

在name参数上尝试用简单的JS代码进行XSS攻击,看到下面代码执行成功

复制代码
?name=<script>alert(1)</script>

----------------------------------------------

less2:

我们还是执行简单JS代码试试看,发现没有相关提示

查看网页源代码,看看有什么提示,可以看到我们执行的语句<>被过滤

尝试从标签中的属性进行突破,将属性中的><进行闭合可以用">闭合之后再使用<script>标签,话可以直接使用onclick来解决。

复制代码
"><script>alert(1)</script>
"onclick="alert(1)

-----------------------------------

less3:

相关推荐
申君健24864182772029 分钟前
# WebGPU 的渲染原理与 Shader
前端
随风123weber18 分钟前
从前端响应式到后端背压:深度拆解生成式 UI(Generative UI)
前端
用户0595401744621 分钟前
用 Pytest 接管大模型记忆存储测试,状态一致性问题减少 90%
前端·css
IT_陈寒22 分钟前
JavaScript的异步地狱里,我的Promise掉进了微任务陷阱
前端·人工智能·后端
嘟嘟071727 分钟前
大前端工程师必学:用 BFF 架构搭建安全的 AI 流式应用
前端
meilindehuzi_a1 小时前
Vue 项目中的前端 BFF:跨域代理与流式请求实战
前端·javascript·vue.js
小则又沐风a1 小时前
库的原理:目标文件,ELF格式,程序加载
java·linux·前端
程序员爱钓鱼1 小时前
Rust if let 与 while let 详解:简化模式匹配
前端·后端·rust
胡萝卜术2 小时前
从暴力到滑动窗口的终极形态:力扣3「无重复字符的最长子串」的优化进化之路
前端·javascript·面试
钛态10 小时前
前端安全防线:CSRF 攻击链路与双重 Token 校验的工程实现
前端·vue·react·web