XSS Challenge靶场练习
2024-09-01 21:46:03
实验目的
学习xss的基础知识及利用方式。
实验原理
XSS
- 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意script代码,当用户浏览该页之时,嵌入其中Web里面的script代码会被执行,从而达到恶意攻击用户的特殊目的。
XSS种类
- 一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,如:dvbbs的showerror.asp存在的跨站漏洞。
- 另一类则是来自外部的攻击,主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个有跨站漏洞的网页,然后构造跨站语句,通过结合其它技术,如社会工程学等,欺骗目标服务器的管理员打开
实验内容
XSS20题库挑战
实验环境描述
虚拟机:H006003001win701
- 账号:admin
- 密码:123456
实验步骤
1、打开桌面上的xampp,然后点击启动apache,mysql,然后打开浏览器输入localhost地址进入实验页面
- 此靶场中所有的Payload均不唯一,课件中提供的Payload仅供参考
可以用快捷键F12调用Firefox的插件Hackbar,如下:
2、打开我的电脑,然后进入D:\phpstudy\xsschallenge\下,用记事本打开level.php查看代码,(后面的关卡同样打开对应关卡的level.php查看源码)
我们发现payload提交后,并未弹窗,查看源代码可知,这里使用双引号闭合,我们把payload换为双引号,页面出现一个超链接,点击即可。
将payload输入到输入框中,点击提交即可弹框。
将payload输入到输入框中,点击提交即可弹框。
最新文章
- Effective java笔记(三),类与接口
- canvas三角函数做椭圆运动效果
- jquery 平滑滚动页面到某个锚点
- Windows IP安全策略。
- rails里routes配置文件里的resources和resource的区别
- P2P金融的概念理解
- java中main函数解析(转载)
- 一个好用简单的布局空间EasyUI
- 用命令行撤销工作区的所有更改(修改文件&;&;新增文件)
- 设置下载文件路径 &; 获取接口结尾名称。
- C#中得到程序当前工作目录和执行目录的五种方法
- liunx一键安装禅道
- Gym 101915
- LOJ #2058「TJOI / HEOI2016」求和
- python print 打印的数据包含中文,打印报错UnicodeDecodeError: 'gbk' codec can't decode bytes in position 459-460: illegal multibyte sequence解决办法
- (记录合并)union和union all的区别
- NeuroNER+brat工具学习
- Java第2章笔记
- 【ContestHunter】【弱省胡策】【Round7】
- 20145310《网络对抗》逆向及Bof基础