0x00前言
因為ctf中xss的題目偏少(因為需要機械人在後台點選手的連線2333),所有寫的比較少
這裡推薦個環境
0x01xss作用
常見的輸出函式:print()、 print_r()、 echo、 printf()、 sprintf()、 die()、 var_dump()、 var_export()
xss是往頁面中新增了一段**,並且被瀏覽器執行了
反射型將惡意**寫入引數,或者自己伺服器上搭個form表單傳送,用來釣魚
儲存型就等著別人點這個網頁就行了
0x02手段
資料設定等
xss無非就是要對方的cookie,但是常常會有httponly導致cookie並不能傳到xss平台,這是一種有效的防禦方式
但是xss預防應該從本質出發,即對該頁面使用者輸入不能被執行
xss觸發方法
利用script標籤執行js
字串用" ' 包裹都行採用on事件方法
on事件不用單引號或雙引號也可以觸發,但是必須閉合標籤內的引號
=>點選就會觸發能夠使用on事件的標籤=>滑鼠移動觸發
支援on click事件的標籤有, , ,, , ,, , ,
, ,, , , , , , , ,
, to , , ,
, , ,
採用a標籤來做到xss
0x03bypass方法採用編碼,把字串可以進行編碼
後接十進位制 => unicode編碼採用標籤中的空隙規則 後接十六進製制 => unicode編碼
假設正則是
]*)>([\s\s][^可以採用
" #這語句是會彈框的假設輸入的內容是
2023年自我總結
由於18年逐漸走上了管理層面 雖然只是個小經理 感覺和平時寫寫 有一些本質上的區別 ps 在此我要感謝我的領導 技術大咖,研發團隊的支柱人物 給我時間成長,做最終的把控。1 以前是別人安排事情,不需要考慮太多,只需要把自己的這塊需求理解清楚然後開發即可 接觸的 和資料庫方面比較多,可以經常充實自己的...
2018,突破自我
2018年來了,零零後都要開始一批批跨越18歲,進入成年人的世界了。作為乙個80後,在這新年上班的第一天,我必須得讓自己保持 奮鬥者 的狀態,不斷超越自己,不至於被這個時代落下。2017的技術收穫 在開啟新的 征程 之前,我需要先回顧一下上一年在技術上和學習上的收穫和不足。整體來說,2017年我的技...
SDOI 2018 R2 自我總結
day1 由於蒟蒻一輪省選 ce,二輪上了考場之後並不是很慌,先看了看第一道題,感覺很可做,然後幾乎整場比賽就栽在第一道題上了.第一眼的思路就是現將整個座標系按照給定直線導軌的角度翻轉,然後將擋板 線段 對映到導軌上,然後處理一下導軌之間的遮擋情況,注意到最後選取的區間左右端點一定有乙個會卡在擋板的...