在線xss練習平台

No.1
第一個就很簡單了，什么都沒有過濾，只需要閉合前面的標簽就可以執行xss了。

1	");alert(1)//

No.2
第二個做了正則替換，只要是有’ “ ‘就替換為 \”，這個就很有意思了，有多種解題辦法，因為可能沒有辦法閉合標簽，我們就可以使用script來進行xss注入

1	</script><script>alert(1)<!--

最好的解決辦法是：

1	\");alert(1)//

當我們輸入” 系統會變為 \” 再結合前面的\ 就會變成 (“\“) 這樣就繞過了過濾達到注入效果。

No.3
這個題是通過JSON.stringify()來進行過濾，其實和上面那個差不多，可以把”過濾為\”，但是沒有辦法過濾< > /，那么就能閉合前面的script標簽來進行注入。

1	</script><script>alert(1)//

No.4
和上面那個一樣，也是不能用”,但是這個值最后傳遞到了url中，那么我們就可以利用url編碼進行注入，’編碼后為%22，所以payload為：

1	%22);alert(1)//

參考鏈接：http://yangge.me/2017/04/28/xss-study/

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 XSS練習平台【XSS Challenges】在線CTF練習平台 pikachu靶機練習平台-xss XSS挑戰之旅平台通關練習 Pikachu漏洞練習平台實驗——XSS（二） 1.6 xss挑戰平台練習『在線工具』基於 xsser.me 源碼 + BootStrap 前端的 XSS 平台 XSS 跨站腳本（練習平台-waf繞過-payload大全） pikachu練習平台（XSS-漏洞測試案例（cookie的竊取和利用、釣魚攻擊、XSS獲取鍵盤記錄）） XSS靶場練習