摘要:
Stage #11 根据提示,发现正则匹配,过滤掉了很多关键字 除on 事件和script 事件外,能执行js 代码的还有a 标签构造的超链接 构造 "><a href=javascript:alert(document.domain)>test</a>< 发现仍然存在过滤,尝试用HTML 实体进行 阅读全文
摘要:
eval 函数 eval() 函数把字符串按照 PHP 代码来计算 该字符串必须是合法的 PHP 代码,且必须以分号结尾 如果没有在代码字符串中调用 return 语句,则返回 NULL。如果代码中存在解析错误,则 eval() 函数返回 false eval 函数的一般用法 eval() 函数用于 阅读全文
摘要:
Stage #6 测试代码</xss> 存在过滤,并且也没有其他输入点,尝试构建" onmousemove="alert(document.domain),并查看源代码 当鼠标在Search 上面移动时,弹出弹窗,出现下关入口 此处用到了JavaScript onmousemove 事件,当鼠标在控 阅读全文
摘要:
XSS Chanllenges XSS Chanllenges 是一个XSS的练习平台,可以借助这个平台练习各种绕过,以及手工进行XSS的学习 平台链接:https://xss-quiz.int21h.jp/ Stage #1 我们打开平台的网址链接,可以看到第一关的界面 首先,我们测试注入点,插入 阅读全文
摘要:
攻击原理 XSS(cross-site scripting跨域脚本攻击)攻击是最常见的Web攻击,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 xss 与其他的攻击方式相比缺点明显,如下: 1、耗时间 2、有一定几率不成功 3、没有相应的软件来完成自动化攻击 4、前期需要基本的htm 阅读全文