一、反射型XSS 1、get型 源碼前后區別 抓包 app://local/E%3A%5Cobsidian%5C%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%5C%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%5C%E9%9F ...

XSS盲打 1.在提交框隨意輸入一段內容，可以發現並沒有在前端進行輸出，我們根據提示（pikachu平台每關所給的提示真的超級重要的）登陸一下pikachu的后台。 2.輸入一段js代碼看一下后台的情況。我們輸入的js代碼已經被后台成功執行了。盲打和存儲型有些相似 ...

一、概述 XSS（跨站腳本）概述Cross-Site Scripting 簡稱為“CSS”，為避免與前端疊成樣式表的縮寫"CSS"沖突，故又稱XSS。一般XSS可以分為如下幾種常見類型：　　　　1.反射性XSS;　　　　2.存儲型XSS;　　　　3.DOM型XSS; XSS漏洞一直被評估 ...

首先我們需要了解DOM是什么 我們可以把DOM理解為一個一個訪問HTML的標准的編程接口。DOM是一個前端的接口，並沒有和后端做任何的交互。W3Cschool上有一個介紹DOM的樹形圖我把他截取下來了。 DOM型XSS漏洞演示 1.首先我們在輸入框中隨便輸入一串字符 ...

存儲型和反射型的XSS差不多但是時間更持久，可以在后台存儲起來，危害更大。 存儲型XSS 1.打開pikachu平台我們可以看到有一個留言板頁面，我們試着留一個言看一下，發現會被存儲起來。其實我們生活當中也有許多這樣的事情，比如說有人的qq號被盜號之后在好友的空間里進行惡意留言，點進去就 ...

第一題：反射性xss（get） 輸出的字符出現在url中 第二題：反射性xss（post） 登錄后輸入<script>alert(1)</script> 第三題：存儲型xss 輸入 src=http ...

xss盲打：並不是一種xss漏洞的類型，其實說的是一種xss的攻擊場景。　　　 開始我們的實驗 隨便輸入后，（並不會在前端輸出） 是不是這種輸入 不輸出在前端就不會有問題呢？ 再輸入彈窗試試（還是不在前端輸出） 管理員登陸后台，后台 ...

xss案例 cookie的竊取和利用 釣魚攻擊 Xss獲取鍵盤記錄 在進行案例之前首先要搭建xss后台 搭建xss后台 1.在pikachu文件夾下面，把pkxss單獨放在www下面 2.修改配置文件 數據庫服務器地址，賬號，密碼 ...