Xss-labs 1-8关的初步通关

Xss-labs 1-8关的初步通关

第一关

典型的反射型XSS,在URL找到name后使用即可触发弹窗

第二关

随便输入一个值发现值被添加到了value属性中

所以采用与input标签闭合的方式使用">

第三关

与第二关界面类似,尝试闭合后发现关键字被编码失效了

尝试通过JavaScript伪协议执行js代码使用' onfocus=javascript:alert('xss') >点击输入框触发

第四关

依然与前两关类似,首先尝试合并然后查看源码

发现闭合符号变成双引号,那么依然使用JavaScript伪协议" onfocus=javascript:alert('xss')//来触发

第五关

界面与前类似,尝试合并

发现script被编码

尝试伪协议

发现onfocus也被编码

那么尝试闭合后使用a标签写入链接,点击链接后成功

第六关

直接尝试a标签写入链接

发现href被编码尝试大小写绕过,简简单单

第七关

直接尝试a标签写入链接

发现例如script,on,href关键词被过滤

尝试双写绕过,成功

第八关

直接尝试a标签写入链接

发现关键词被编码,同时发现输入的值是一个跳转链接

尝试直接从跳转链接下手

发现会对关键词过滤,尝试大小写双写绕过

皆无法绕过,尝试将JavaScript伪协议进行unicode编码后再插入

输入javascript:alert('xss'),成功

相关推荐
牧艺1 分钟前
Cursor Rules / Skills 分层设计:让 Agent 像「团队新同事」
前端·人工智能·cursor
光影少年22 分钟前
react navite 跨端核心原理
前端·react native·react.js
monologues25 分钟前
Vue 3 渲染器的核心秘密:从 VNode 创建到快速 Diff 算法
前端
奇奇怪怪的25 分钟前
从开发到生产——生成优化、监控、安全与成本
前端
10share26 分钟前
100行代码 模拟实现Vue 响应式系统
前端·vue.js
Heo27 分钟前
Vite进阶用法详解
前端·javascript·面试
狂炫冰美式1 小时前
人均配了AI, 为什么公司还是没变快? 🤔 本质还是分布式系统问题
前端·后端·架构
乘风gg2 小时前
多 Agent 不是万能的!搞懂这 5 个原则,少走 1 年弯路!
前端·agent·ai编程
猩猩程序员3 小时前
Vercel 推出 Agent 框架 Eve:让 AI Agent 像写 Web 应用一样简单
前端
爱读源码的大都督3 小时前
Claude Code源码分析(三):为什么系统提示词中需要有tools呢?
前端·人工智能·后端