XSS训练连载一
Posted Labs安全研习笔记
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了XSS训练连载一相关的知识,希望对你有一定的参考价值。
今天小编要进行XSS晋级训练连载了,让大家对XSS有个深入认识,首先来介绍一下XSS基本概念吧。
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
那么今天先来个简单的题目吧,小编在自己虚拟机环境搭建以前N months前某大型机构的训练程序,打开首页
这个xss的家伙长得还真丑,赶紧点击跳过吧
level1 :看到链接http://localhost/xss/level1.php?name=test
Name看来是xss注入点,直接用<script>alert(1)</script>试试,成功了
level 1是不是很简单啊,点击确定,来看看level2 吧
2. level 2: http://localhost/xss/level2.php?keyword=test
看看和level1的一样,于是试试level1相同的办法
发现不行,查看网页源代码,发现把<都转义了<,>转义为>
于是想想其他办法,看到<inputvalue="">有可控参数,在表单中添加为1"onclick=alert(1)//
输入之后,页面输入框变为1,将鼠标放到1的后面点击,提示成功
xss是不是很有意思,意犹未尽,想继续level3吗?明天我们继续
以上是关于XSS训练连载一的主要内容,如果未能解决你的问题,请参考以下文章