老司机开代码的博客

文章目录前言注入技巧1. 常见注入点2. 常用payload2.1 构造标签2.2 构造事件3. 绕过思路4. 注入思路前言最近学习了XSS注入。为了避免遗忘，总结一下。注入技巧1. 常见注入点URL输入框2. 常用payload2.1 构造标签1. <script>alert(1)</script>2. <a href=javascript:alert(1)>3. <img src=1 onerror=alert(1)>4. &

文章目录lowmediumHighImpossiblelowpayload<script>alert(1)</script><a href=javascript:alert(1)> 123low级别没有什么防御机制，一般的payload都是可以的。mediumpayload<a href=javascript:alert(1)>123<scRipt>alert(1)</script><scri<

文章目录关于DOMlowmediumhighimpossible关于DOM因为自己还没有深入，系统的学习js和html。因此对于DOM的理解也不深入，就目前个人的认识，DOM类型的XSS是利用浏览器访问DOM对象，修改网页html结构，从而达到xss注入。等以后详细的学习了，再把这个介绍补上。这里推荐一篇有关DOM-XSS介绍的文章：DOM-XSS攻击原理与防御lowlow级别，没有防护。但是这里的输入框是一种选择类型的框框，无法在输入框中构造payload。但是通过观察可以发现，输入框所选择

文章目录第十关第十一关第十二关第十三关第十四关第十五关第十六关第十七关第十八关第十关构造url提交level10.php?keyword=<script>alert(1)</script>首先ctrl+U看一下页面源码：<h1 align=center>欢迎来到level10</h1><h2 align=center>没有找到和&lt;script&gt;alert(1)&lt;/script&gt;相

文章目录环境搭建第一关第二关第三关第四关第五关第六关第七关第八关第九关环境搭建XSSlab的搭建很简单，下载好压缩包，解压到phpstudy的WWW目录下即可访问。源码下载（t8t7）如果不想自己搭建的话，网上有很多搭建好的可以直接测试，比如：https://xss.angelo.org.cn前几关还是比较水的，直接把做题过程记录下来好了。。。第一关如图所示，第一关展示的是我们可以通过url中的?name参数，向网站提交数据，然后返回到页面上。那么直接试一下把name的值提交成弹框。