实验目的

学习xss的基础知识及利用方式。

实验原理

XSS

  • 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意script代码,当用户浏览该页之时,嵌入其中Web里面的script代码会被执行,从而达到恶意攻击用户的特殊目的。

XSS种类

  • 一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,如:dvbbs的showerror.asp存在的跨站漏洞。
  • 另一类则是来自外部的攻击,主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个有跨站漏洞的网页,然后构造跨站语句,通过结合其它技术,如社会工程学等,欺骗目标服务器的管理员打开

实验内容

XSS20题库挑战

实验环境描述

虚拟机:H006003001win701

  • 账号:admin
  • 密码:123456

实验步骤

1、打开桌面上的xampp,然后点击启动apache,mysql,然后打开浏览器输入localhost地址进入实验页面

  • 此靶场中所有的Payload均不唯一,课件中提供的Payload仅供参考

  • 可以用快捷键F12调用Firefox的插件Hackbar,如下:

2、打开我的电脑,然后进入D:\phpstudy\xsschallenge\下,用记事本打开level.php查看代码,(后面的关卡同样打开对应关卡的level.php查看源码)

我们发现payload提交后,并未弹窗,查看源代码可知,这里使用双引号闭合,我们把payload换为双引号,页面出现一个超链接,点击即可。

将payload输入到输入框中,点击提交即可弹框。

将payload输入到输入框中,点击提交即可弹框。

最新文章

  1. Effective java笔记(三),类与接口
  2. canvas三角函数做椭圆运动效果
  3. jquery 平滑滚动页面到某个锚点
  4. Windows IP安全策略。
  5. rails里routes配置文件里的resources和resource的区别
  6. P2P金融的概念理解
  7. java中main函数解析(转载)
  8. 一个好用简单的布局空间EasyUI
  9. 用命令行撤销工作区的所有更改(修改文件&&新增文件)
  10. 设置下载文件路径 & 获取接口结尾名称。
  11. C#中得到程序当前工作目录和执行目录的五种方法
  12. liunx一键安装禅道
  13. Gym 101915
  14. LOJ #2058「TJOI / HEOI2016」求和
  15. python print 打印的数据包含中文,打印报错UnicodeDecodeError: 'gbk' codec can't decode bytes in position 459-460: illegal multibyte sequence解决办法
  16. (记录合并)union和union all的区别
  17. NeuroNER+brat工具学习
  18. Java第2章笔记
  19. 【ContestHunter】【弱省胡策】【Round7】
  20. 20145310《网络对抗》逆向及Bof基础

热门文章

  1. hdfs文件导入到hive(带资源)
  2. 【数学】立个flag
  3. Go语言:包管理基础知识
  4. 用Python实现一个Picgo图床工具
  5. C++构造函数语义学(一)(基于C++对象模型)
  6. 由浅入深,66条JavaScript面试知识点
  7. Hadoop支持LZO
  8. VC++ 启用内存泄露检测
  9. Spring源码-IOC部分-容器简介【1】
  10. C# 实例解释面向对象编程中的单一功能原则