XSS朝花夕拾代码简单分析(XSSgame)
XSS知识朝花夕拾
xssgame(1-10)
简单源码分析
Level1
看看源码,直接将用户输入的内容不加处理的添加到了echo语句中进行“打印”,
Payload:
<script>alert(1)
<img src=”” οnerrοr=alert(“1”)>
还有很多很多
Level2
查看源码
Payload位置 echo中的<input name=keyword value=”’.str.’”>
使用“>将标签闭合之后出发xss
Level3
查看源码,使用了htmlspecialchars()函数对传入的参数进行了处理,但是可以使用单引号,进行绕过,添加一个点击事件
Payload:
’ οnclick=alert(1)//
’ οnclick=’ window.alert(‘1’)
Level4
查看源码,使用str_replace()函数,将<>替换为空
![h使用双引号闭合value的值,之后添加onclick事件
Level5
查看源码
使用了str_replace()函数对输入进行处理
使用”>闭合value,再添加<a href=>标签。
Level6
查看源代码
过滤了href、data、<script、on、src
尝试了一下之后发现可以使用大小写绕过
Payload:
“><a HREF=”javascript:alert(1)”>
Level7
查看源码,将敏感字符替换为空,可以使用双写绕过
Payload:
“><a hrhrefef=”javascscriptript:alert(1)”>
Level8
查看源码
尝试之后,发现可以使用编码绕过
Payload: javascript:alert(1)
Level9
查看源码
跟第八题不一样的地方是有对http://做校验
在上一个payload的基础上,加上就行了
Level10
查看源码
使用了type=”hidden”,隐藏了输入
使用双引号闭合value的双引号,之后添加type=”text”,之后设置一个点击事件
Payload:” type=”text” οnclick=”alert(1)
XSS朝花夕拾代码简单分析(XSSgame)相关推荐
- python做数据可视化的代码_Python数据可视化正态分布简单分析及实现代码
Python说来简单也简单,但是也不简单,尤其是再跟高数结合起来的时候... 正态分布(Normaldistribution),也称"常态分布",又名高斯分布(Gaussiandi ...
- 二维正态分布图python代码_Python数据可视化正态分布简单分析及实现代码
Python说来简单也简单,但是也不简单,尤其是再跟高数结合起来的时候... 正态分布(Normaldistribution),也称"常态分布",又名高斯分布(Gaussiandi ...
- LeetCode——LCP 29. 乐团站位[简单]——分析及代码(Java)
LeetCode--LCP 29. 乐团站位[简单]--分析及代码[Java] 一.题目 二.分析及代码 1. 直接计算 (1)思路 (2)代码 (3)结果 三.其他 一.题目 某乐团的演出场地可视作 ...
- DWM1000 测距原理简单分析 之 SS-TWR代码分析2 -- [蓝点无限]
蓝点DWM1000 模块已经打样测试完毕,有兴趣的可以申请购买了,更多信息参见 蓝点论坛 正文: 首先将SS 原理介绍中的图片拿过来,将图片印在脑海里. 对于DeviceA 和 DeviceB来说,初 ...
- 【漏洞复现】WordPress插件Quizlord 2.0 XSS漏洞复现与分析
年后趁着需要做安全测试系统不多的这个空档,学学python到处逛逛复现复现和分析一些简单的漏洞 --from Lyricbao 0x00 复现环境 phpstudy wordpress 4.4版本 Q ...
- NET Core的代码安全分析工具 - Security Code Scan
NET Core的代码安全分析工具 - Security Code Scan 原文:NET Core的代码安全分析工具 - Security Code Scan NET Core的代码安全分析工具 - ...
- 一个适合.NET Core的代码安全分析工具 - Security Code Scan
本文主要翻译自Security Code Scan的官方Github文档,结合自己的初步使用简单介绍一下这款工具,大家可以结合自己团队的情况参考使用.此外,对.NET Core开发团队来说,可以参考张 ...
- .NET 11 个 Visual Studio 代码性能分析工具
原文地址 软件开发中的性能优化对程序员来说是一个非常重要的问题.一个小问题可能成为一个大的系统的瓶颈.但是对于程序员来说,通过自身去优化代码是十分困难的.幸运的是,有一些非常棒的工具可以帮助程序员进行 ...
- 11个Visual Studio代码性能分析工具
软件开发中的性能优化对程序员来说是一个非常重要的问题.一个小问题可能成为一个大的系统的瓶颈.但是对于程序员来说,通过自身去优化代码是十分困难的.幸运的是,有一些非常棒的工具可以帮助程序员进行代码分析和 ...
最新文章
- mysql表 字段 说明_mysql表字段说明
- 开关电源输出整流二极管
- HDLC和 PPP的实验
- 小师妹学JavaIO之:用Selector来发好人卡
- java jsp ajax_ajax的json传值方式在jsp页面中的应用
- Database工作笔记-对层次库的理解
- 【转】Android SDK Manager 更新方法
- GTJ2018如何导出全部工程量_工程遇到带E的钢筋应该如何处理?
- Maven 仓库优先级
- NASM汇编语言与计算机系统03-实模式-屏幕显示HelloWorld(mov,jmp,time,dd,dw,$$)
- Qt Project Build error PRJ0019: 工具从Moc'ing xxx.h...
- iOS中Storyboard使用要点记录
- 2016前端的收藏夹
- 360度环绕式全景 微软photosynth震撼体验
- 基于单片机的智能视力保护监控系统设计
- 阿里巴巴android开发规范,阿里巴巴开发手册|阿里巴巴Android开发手册 PDF电子版_最火软件站...
- 原生JS实现简单打砖块弹球小游戏
- OD使用经验【转载】
- 概率论与数理统计公式
- unity中Game视图中实现和Scene视图中一样的摄像机操作
热门文章
- Disruptor并发框架,核心组件RingBuffer
- IJCAI 2019 | 通过交互提升机器翻译质量
- 巨大的市场潜力,细数2019国内云计算新排名
- ncbi blast MATLAB,NCBI-BLAST在线使用教程详细攻略(图解)
- 计算机室在初中英语教学中的应用,信息技术在初中英语教学中的应用探析
- 印象笔记,石墨笔记和Effie哪个更适合学生?
- php bcd编码,什么是BCD码、8421码、余三码、格雷码
- Android 长度单位(dp、sp、px、in、pt、mm)详解
- 【Appium】逍遥模拟器命令memuc功能大全【命令启动】
- 云服务系列文章(一) 阿里云和AWS