溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
獲取短信驗證碼
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
登 錄 注冊有禮
云服務器 香港服務器 高防服務器
最新更新 網站標簽 地圖導航
產品

XSS學習之旅

發布時間:2020-08-03 09:56:07 來源:網絡 閱讀:535 作者:時間帶 欄目:安全技術

實驗環境是合天智匯的里面的xss九個實驗

實驗一:

關鍵代碼如下
XSS學習之旅
直接上xss的payload
XSS學習之旅

實驗二:

關鍵代碼如下:
XSS學習之旅
這里只是過濾了<script>以及</script>關鍵字,可以使用大寫繞過
XSS學習之旅

實驗三:

關鍵代碼:
XSS學習之旅
preg_replace函數的作用是過濾<script>和</script>的關鍵字以及其大小寫,替換成空,可以構造payload如下圖
XSS學習之旅

實驗四:

關鍵代碼:
XSS學習之旅
這里只是過濾了關鍵字script,換個payload接著來
XSS學習之旅

實驗五:

關鍵代碼:
XSS學習之旅
這里過濾的是alert函數后面有個 i 表示忽略大小寫。payload如下:
XSS學習之旅

實驗六:

關鍵代碼:
XSS學習之旅
這里主要通過php語法繞過,每個語句通過分號結束。
XSS學習之旅
那么可以構造如下的payload
XSS學習之旅
執行后源代碼的情況如下:
XSS學習之旅

實驗七:

關鍵代碼:
XSS學習之旅
htmlentities函數可以把一些符號實體化。如下
XSS學習之旅
可以看到單引號沒有被過濾,和實驗六基本差不多
XSS學習之旅

實驗八、實驗九:

小白剛學,可以看這個地方的具體解決方案:https://blog.csdn.net/u012763794/article/details/48215585

實驗十:

關鍵代碼:
XSS學習之旅
和上面的實驗六差不多。payload: ;alert(123);
XSS學習之旅

向AI問一下細節
推薦閱讀:
  1. WINDOWS 10安裝之旅
  2. 筆者的MySql學習之旅

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

xss 學習之旅

猜你喜歡

最新資訊
相關推薦

相關標簽

反射型xss xss攻擊 wxss 代碼 java web wordpress php 存儲 jquery ajax css 如何 學習 一次 django dvwa
AI

產品服務
地區劃分
專題活動
幫助支持
關于我們
售后咨詢
7*24小時在線電話:400-100-2938
7*24小時在線 QQ:800811969
關注億速云

億速云公眾號

手機網站二維碼

Copyright ? Yisu Cloud Ltd. All Rights Reserved. 2018 版權所有

廣州億速云計算有限公司粵ICP備17096448號-1 粵公網安備 44010402001142號增值電信業務經營許可證編號:B1-20181529

亚洲午夜精品一区二区_中文无码日韩欧免_久久香蕉精品视频_欧美主播一区二区三区美女