皮卡丘存储型xss、DOM型xss、DOM型xss-x

这篇具有很好参考价值的文章主要介绍了皮卡丘存储型xss、DOM型xss、DOM型xss-x。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

1.存储型xss

看题目,我们先留言,看它的过滤机制

皮卡丘存储型xss、DOM型xss、DOM型xss-x

发现可以永久存储并输出我们的留言

皮卡丘存储型xss、DOM型xss、DOM型xss-x

之后插入payload: <script>alert('xss')</script> 

皮卡丘存储型xss、DOM型xss、DOM型xss-x

成功弹窗!

2.DOM型xss

Dom型xss,简单的说,就是向文档对象传入xss参数,然后操作文档对象是触发xss攻击

先插入payload:<script>alert(1)</script>试试

F12,发现a元素href属性的值改编成了我们的输入值

皮卡丘存储型xss、DOM型xss、DOM型xss-x

DOM型xss属于纯前端的漏洞,在我们输入后会得到一个字符串,然后通过字符串拼接方式拼接到 a href中。输入点我们可以从<a>标签构造一个闭包函数。

构造一个闭包函数到输入文本框中

插入payload:# ' οnclick="alert(123)">

皮卡丘存储型xss、DOM型xss、DOM型xss-x

再点击'>what do you see?

皮卡丘存储型xss、DOM型xss、DOM型xss-x

成功弹窗!

或者插入payload:# ' οnmοuseοver="alert(123)"> 

然后将鼠标碰到'>what do you see?

皮卡丘存储型xss、DOM型xss、DOM型xss-x

成功弹窗!

3.DOM型xss-x

皮卡丘存储型xss、DOM型xss、DOM型xss-x

先随便输“666”

皮卡丘存储型xss、DOM型xss、DOM型xss-x

再点击“有些费尽心机想要忘记的事情,后来就真的忘掉了”

皮卡丘存储型xss、DOM型xss、DOM型xss-x

直接上F12审查,发现有domxss()出现

皮卡丘存储型xss、DOM型xss、DOM型xss-x

查找function domxss()

皮卡丘存储型xss、DOM型xss、DOM型xss-x

按照第一个“试试”

我们插入payload:'><img src="#" οnmοuseοver="alert('xss')">

再点击“有些费尽心机想要忘记的事情,后来就真的忘掉了”

然后鼠标碰住下图所示的小图标

皮卡丘存储型xss、DOM型xss、DOM型xss-x弹窗成功!

或者按照第二个“试试”:

插入payload:' οnclick="alert('xss')">,将dom闭合

再点击“有些费尽心机想要忘记的事情,后来就真的忘掉了”

再点击“'>就让往事都随风,都随风吧”

皮卡丘存储型xss、DOM型xss、DOM型xss-x弹窗成功!文章来源地址https://www.toymoban.com/news/detail-473021.html

到了这里,关于皮卡丘存储型xss、DOM型xss、DOM型xss-x的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 皮卡丘靶场搭建遇到的问题大全

    自己电脑开启了mysql服务,使用win+r,services.msc,找到自己的mysql服务,关闭。再次尝试使用phpstudy_pro启动mysql,成功解决。 不存在pikachu数据库,使用小皮创建一个pikachu数据库,用户名,密码随便写。 解决 访问子网页install.php,如我的 解决。

    2024年02月10日
    浏览(33)
  • Web安全 Pikachu(皮卡丘)靶场搭建.

    Pikachu(皮卡丘)是一个自带Web漏洞的应用系统,在这里包含了常见的web安全漏洞。如果你是一个想学习Web渗透测试人员,并且没有找到合适靶场,则可以使用这个Pikachu(皮卡丘)进行练习。( 靶场包含:(1)暴力破解,(2)XSS,(3)CSRF,(4)SQL注入,(5)RCE,(6)文件

    2023年04月17日
    浏览(39)
  • 教你用Python画哆啦A梦、海绵宝宝、皮卡丘、史迪仔!

       由于代码过长,这里仅显示部分代码:        部分代码如下:       部分代码如下:       部分代码如下:     关注我的原创公众号【 小鸿爱摸鱼 】,回复【可爱皮卡丘】、【哆啦A梦】、【史迪仔】、【海绵宝宝】获取对应的源码     Author:南柯树下,Goa

    2023年04月18日
    浏览(36)
  • 教你用Python画哆啦A梦、海绵宝宝、皮卡丘、史迪仔!(附完整源码)

       由于代码过长,这里仅显示部分代码:        部分代码如下:       部分代码如下:       部分代码如下:     关注我的原创公众号【 小鸿爱摸鱼 】,回复【可爱皮卡丘】、【哆啦A梦】、【史迪仔】、【海绵宝宝】获取对应的源码     Author:南柯树下,Goa

    2023年04月20日
    浏览(36)
  • 我让ChatGPT用CSS3画一个皮卡丘,还是自己画的可爱

    突然想到了小时候看过的动画片《皮卡丘》,于是突然就想,ChatGPT肯定也看过,他哪有不知道的东西啊,于是就想着让他帮我画一个,他画出来之后,我笑了,这啥玩意儿啊。   目录 一、第一次尝试让ChatGPT用CSS3画皮卡丘 1. 绘制皮卡丘的耳朵: 2. 绘制皮卡丘的眼睛: 3. 

    2024年02月04日
    浏览(45)
  • 【Python Turtle合集】有趣好玩的代码当然要分享给大家啦~(皮卡丘、玫瑰花、小黄人......)

    🚀 作者 :“程序员梨子” 🚀 **文章简介 **:本篇文章主要是写了利用Turtle库绘制四种不一样的图案的小程序! 🚀 **文章源码免费获取 : 为了感谢每一个关注我的小可爱💓每篇文章的项目源码都是无 偿分享滴💓👇👇👇👇 点这里蓝色这行字体自取,需要什么源码记得

    2023年04月13日
    浏览(52)
  • 其实python真的很简单!今天就教会你,用Python画哆啦A梦、海绵宝宝、皮卡丘、史迪仔!附上源码,不信你还学不会!

    由于代码过长,这里仅显示部分代码: 部分代码如下: 部分代码如下: 部分代码如下: —— —— —— —— — END —— —— —— —— ————

    2024年02月07日
    浏览(41)
  • 35、WEB攻防——通用漏洞&XSS跨站&反射&存储&DOM&盲打&劫持

    XSS产生于前端的漏洞,常产生于: XSS分类: 反射型(非持久型) 存储型(持久型),攻击代码被写入数据库中。常见于:写日志、留言、评论的地方 DOM型 DOM型XSS与反射型XSS、存储型XSS的最大区别在于:DOM型XSS前端的数据是传输给前端JS代码进行处理,而反射型XSS、存储型

    2024年01月25日
    浏览(72)
  • Web安全测试(五):XSS攻击—存储式XSS漏洞

    结合内部资料,与安全渗透部门同事合力整理的安全测试相关资料教程,全方位涵盖电商、支付、金融、网络、数据库等领域的安全测试,覆盖Web、APP、中间件、内外网、Linux、Windows多个平台。学完后一定能成为安全大佬! 全部文章请访问专栏: 《全栈安全测试教程(0基础

    2024年02月10日
    浏览(70)
  • XSS 存储漏洞修复

    收到检查报告,说是有xss 存储型漏洞,百度看了很多资料总结两句话 1、保存数据库内容需要过滤 2、设置过滤器 思路:我们需要一个过滤前在Controller方法调用前对所有参数进行检查,过滤替换。 过滤》替换非法参数》继续Controller调用。 网上得思路基本是替换,没看到拒绝

    2024年02月06日
    浏览(79)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包