XSS简单练习
xss平台: https://xss.haozi.me
题解: https://blog.csdn.net/AlexYoung28/article/details/82315538
对在xss.haozi.me练习平台上进行xss练习的过程进行记录
0x01 闭合<texarea>标签
0x02 闭合value值的引号
0x03 过滤了括号(),用反单引号`代替括号达到效果
0x04 过滤了括号和反单引号,将括号转换为unicode码代替
0x05 注释方式两种(1)<!-- -->(2) <!- --!>
过滤了第一种 使用第二种注释方式破坏注释结构
0x06 过滤了on开头的事件,如onclick、onload等,但.不能代替回车符
0x07 过滤了输入内容的<>,因此使用单标签语句达到xss效果
0x08 过滤了</style>变为/*坏人*/ 在多输入一层</style>即可
0x09 检测输入内容需要有https://www.segmentfault.com 输入后xss
0x0A 在上一题基础上过滤了&'"<>\这几个符号
读取其服务器下j.js脚本执行alert(1)
0x0B 将输入内容全部转换为大写,html中不区分大小写,js中区分大小写
0x0C 在上一题基础上,过滤了script
0x0D 对输入内容进行了单行注释 通过回车及-->破坏注释结构
0x0E 过滤了正常输入字母的标签同时转换为大写 用拉丁字母的s
其大写与S相同
0x0F 过滤了&'"<>\这几个符号 闭合console.error('')结构即可
0x10 没有过滤 直接输入即可
0x11 与0x0F同理
0x12 过滤了",多增加一个\破坏其转义字符的功能
最新文章
- 山寨Unity3D?搜狐畅游的免费开源游戏引擎Genesis-3D
- oracle在impdp时报ORA-31655和ORA-39154
- js基础篇——原型与原型链的详细理解
- 【转】向HTML中插入视频并兼容所有浏览器的方法
- 10.28&;29(NOIP模拟&;修正&;总结)
- SpringMVC 中获取所有的路由配置。
- 转载java源代码阅读方法
- OTG_FS_ID功能及引申
- sed命令用法详解
- ZigBee2006,2007,pro各个版本的区别
- 今天知道了一个 反向代理,是apache 的一个功能,这里记录一下
- SRM 394(1-250pt)
- extjs中combobox默认显示第一个值
- 获取当前元素节点的position和宽高(兼容)
- Linux例行工作crontab
- github提交代码到服务器的方法
- mpi中程序在集群中的分发
- 雷军微博拧螺丝,CFO为粉丝数发愁
- maven 学习
- Altium Designer 13 安装完整元件库