首页 > 其他分享 >Pikachu靶场练习记录--2--Cross-Site Scripting(xss)

Pikachu靶场练习记录--2--Cross-Site Scripting(xss)

时间:2024-08-08 15:53:24浏览次数:15  
标签:xss XSS -- Pikachu 用户 JS 攻击 代码 页面

        1.简述

        XSS攻击,即跨站脚本攻击,是一种网络安全威胁。为了避免与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,因此将跨站脚本攻击缩写为XSS。此类攻击通过在Web页面中插入恶意的脚本代码,用户在访问该页面时,这些嵌入的脚本代码会被执行,从而对用户进行恶意操作。XSS攻击主要是针对用户层面的一种攻击手段。

        XSS漏洞个人理解就是前端代码写的时候没有进行筛选,使得用户输入的话成为了前端执行的代码。要是想利用号XSS漏洞还是需要进行的JS的代码学习,起码要能看懂JS,然后会基础的代码编码。

        下面是皮卡丘的XSS漏洞记录。

        2.反射型XSS(get)

F12发现maxlength最大长度为20

我们删除他

<script>alert('lee')</script>

 

        3.反射型XSS(post)

右边的点一下提醒,登录

        4.存储型XSS

存储型XSS,很有趣,他写上js语言后,是会存入到网站的,每次你打开这个网站的时候,都会蹦出这个界面。下面进行记录。(这个为好感觉还是比较大的)

处理结果如图所示。每次进入到这个页面都会有这个弹窗,每个人也都会这个弹窗。

        5.DOM-XSS

查看网页源代码

用全局搜索找到’what do you see?‘

明白这句话的含义,如果没有学习过JS或者不是很明白的可以,问ChatGpt也是很详细的,这句话的意思是会把用户的输入的句子,写入<a>标签中。只不过这一次就不可用<script >语句了,<script >这个语句不能在<a>标签中生效。所以我们可以换一个方法。

'onclick="alert('lee')">

 

标签:xss,XSS,--,Pikachu,用户,JS,攻击,代码,页面
From: https://blog.csdn.net/Quyu6666/article/details/141021025

相关文章

  • 智象未来“智象视觉大模型”取得惊人突破 自研技术引领生成式人工智能领域发展
    人工智能(AI)领域的发展一直以来都备受关注,尤其是近年来生成式人工智能(GenerativeArtificialIntelligence)技术的迅速发展,为人们展示了许多惊人的技术突破。在此背景下,智象未来(HiDream.ai)自主研发的“智象大模型”成为一项重要的技术里程碑。“智象大模型”是智象未来自主研发......
  • Pikachu靶场练习记录--1--Burt Force(暴力破解漏洞)
        1.基于表单的暴力破解随便输入点东西,打开bp拦截抓包。准备好开始进攻          下面显示登陆成功。    2.验证码绕过(onserver)依然使用暴力破解对目标登录成功。    3.验证码绕过(onclient)但是下面的英文显......
  • SSY20240805提高组T2题解
    题干描述题目描述给定一个长度为......
  • 英雄联盟d3dx9_39.dll丢失怎么修复?lol缺少dll文件的解决方法
    在享受《英雄联盟》(LeagueofLegends)的战斗之旅时,偶尔会遇到诸如“d3dx9_39.dll丢失”这样的错误提示,这可能会导致游戏无法启动。不要担心,这是一个相对常见的问题,通常与DirectX组件有关。以下是几种简单而有效的修复方法,一起来看看。1.使用DLL修复工具首先,下载DLL修复软......
  • 使用wx制作一个桌面软件
    前面因为抓取数据,为了方便期间做了各界面,用到了wx,觉得很好用,所以最近几天专门看了一下wx的使用,并练习了一下。代码:importos,sys,re,timeimportwx,wx.xrc,wx.adv,wx.gridimportjson,math,randomimportsubprocess,threadingfromwin32apiimportGetSystemMetricsfromf......
  • UnicodeEncodeError:“ascii”编解码器无法对位置 20 中的字符 u'\xa0' 进行编码:序号
    我在处理从不同网页(在不同站点上)获取的文本中的unicode字符时遇到问题。我正在使用BeautifulSoup。问题是错误并不总是可重现的;它有时适用于某些页面,有时,它会因抛出UnicodeEncodeError而呕吐。我已经尝试了几乎所有我能想到的方法,但我还没有找到任何可以一致工作......
  • Mybatis-Plus实现字段的自动填充
    给字段加注解@ApiModelProperty(value="创建人")@TableField(fill=FieldFill.INSERT)privateStringcreateBy;@ApiModelProperty(value="修改人")@TableField(fill=FieldFill.INSERT_UPDATE)privateStringupdateBy;实现MetaObjectHandlerimportco......
  • 《Kubernetes企业级云原生运维实战》(李振良).pdf
    本书是一本实用性很强的Kubernetes运维实战指南,旨在为容器云平台的建设、应用和运维过程提供全面的指导。作者结合丰富的生产环境经验,深入探讨作为一名Kubernetes工程师必备的核心技能,包括部署、存储、网络、安全、日志、监控、CI/CD等方面的技术。本书结合大量的实际案例,......
  • Windows 11 搜索要点功能,删除搜索广告
    点击搜索设置关闭要点搜索使用Windows+R快捷键打开「运行」对话框,执行gpedit.msc打开组策略编辑器。依次展开「计算机配置」>「管理模板」>「Windows组件」>「搜索」。在右侧面板中找到并双击「允许搜索要点」策略。根据需要,选择「已启用」或「已禁用」,然后点击「......
  • docker仓库管理
    一、Harbor介绍Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,由VMware开源,其通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源DockerDistribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建......