黑客之XSS注入练手:XSS Challenges通关指南
2021/3/11 3:11:18
本文主要是介绍黑客之XSS注入练手:XSS Challenges通关指南,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
一、XSS Challenges介绍
靶场地址:xss-quiz.int21h.jp/
相对于别的靶场来说,这是一个模拟真实环境的xss平台,页面不会给出任何提示。
每关难度有所增加,需要不断精进自己的XSS攻击的能力。
二、Stage#1
题目
答案
直接在search
输入框中输入``,点击search就XSS攻击成功了。
三、Stage #2
题目
思路
尝试直接输入``,发现并未完成通关,查看Hint
提示,需要:close the current tag and add SCRIPT tag...
。
然后右键查看网页源码,发现可以闭合输入框的HTML标签:value="">
。
答案
Search输入框输入:"><"
,点击搜索,正确通关。
四、Stage #3
题目
思路
尝试了一下前两关的注入方式,发现都没有反应,然后看了一下Hint提示,说搜索框已经正确做了转移,然后看了一下页面源码,确实是进行了转移处理。
那这个输入框就没有办法进行注入了,看网页源码,发现这是一个Post请求,并且后边的Choose a country
没有做处理,那这里就是攻击点了,页面上没有办法操作,就需要借用到Burp Suite了。
答案
通过思路我们也就看到答案了,通过修改Post请求,实现XSS注入。
五、Stage #4
题目
思路
按理说新的一关了,前边的注入点不可能存在问题的,但是还是尝试了一下。
竟然,真的不行。
现在摸到规律了,看源码!!!
发现有一个隐藏的字段,可能存在利用点,Burp Suite安排上。
答案
通过Burp Suite修改Post请求中这个隐藏的字段,把value
的值修改为"><"
,这里还有一个细节点,就是需要闭合标签,前边已经经历过了。
后续关数众多,今天就先给大家展示到此!!!
> 本文首发于[BigYoung小站] bigyoung.cn
这篇关于黑客之XSS注入练手:XSS Challenges通关指南的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-07-06有没有什么开源的py项目可以对图像进行分类-icode9专业技术文章分享
- 2024-07-05feign默认connecttimeout和readtimeout是多少-icode9专业技术文章分享
- 2024-07-05idea控制台,日志太多,导致部分想看得日志被刷走 搜不到-icode9专业技术文章分享
- 2024-07-05The server selected protocol version Tls10 is not accepted by client preferences [TLs12]-icode9专业技术文章分享
- 2024-07-05怎么清理项目缓存-icode9专业技术文章分享
- 2024-07-04安装 Eyoucms详细图文教程-icode9专业技术文章分享
- 2024-07-04ueditor 复制文章时,图片的链接是一个下载图片地址,该如何处理?-icode9专业技术文章分享
- 2024-07-04怎样判断host有没有对wordpress有缓存呢-icode9专业技术文章分享
- 2024-07-04具有编译功能的系统make后,无法ssh连接-icode9专业技术文章分享
- 2024-07-04make后如何升级ssh-icode9专业技术文章分享