XSS-labs
level 1
先查看一下源代码
由此可见并没有任何的过滤措施,直接输入关于name的参数作为payload即可
弹窗成功
level 2
再去看源代码
由此可见在获取keyword的值之后有两次输出,一次被.htmlspecialchars()所过滤,但第二次在表单input输出并没有进行过滤操作,由此我们可以通过第二次的输出进行xss注入
有两种方法
1.不逃逸input标签闭合前边的双引号加个事件触发xss即可:
payload: "onmousemove="alert(1)
2.逃逸出input标签执行另外的标签触发xss即可:
用标签payload为:">
很遗憾用不了
闭合标签 test">
level 3
第三关仍然先看源代码
:这次它将两个输出点都做了htmlspecialchars()转义,那既然做了转义那么双引号和
尖括号就没有效果了,但是单引号在这个函数中如果没做特殊的改动,默认是可以出效果
的,而且源码中的value是用单引号,看来是有意让使用单引号。
payload: ' onmouseover='alert(1)
level 4
一如既往的先分析源代码
通过代码能看出,本关将<和>都替换成了空格第一个str输出也做了过滤,但是这并不影响和上一题一样进行闭合和在input标签内发出xss
level 5
一如既往查看源代码‘
和前几题大差不差,也是将
payload:"> <iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgpPC9zY3JpcHQ+"> <"
额,能弹窗不能过关
level 8
一如既往先看源代码
这次代码先是将字符转换为小写,然后过滤特殊字符和双引号,最后又加了一个转义函数输出,所以按常规方法绕几乎不可能成功,代码处的添加友情链接是
突破点,在input框中输入字符提交之后,在友情链接处会载入一个拼接后的a标签,因为javascript被过滤对其进行编码绕过再点击友情链接即可。
但是我们能利用href的隐藏属性自动Unicode解码,我们可以插入一段js伪协议
level 9
这次在上一题的基础上加入了strpos()函数,查找如果url中找到'http'那么会返回找到位置的位数,自然不会返回0也就不会等于false,那么就可以绕过限制了,但是为什么会这么做呢?回想了下,应该是让输入框必须要输入合法的URL即带有http的字符串,那么可以向输入框加进去就可以绕过了
payload为:javascript:alert()//http://
直接输入javascript:alert(/xss/)//http://会和第八题一样被过滤
level 10
从前端源代码发现有隐藏表单,这道题有俩个输出的地方,第一个被实体化过滤,第二个是隐藏表单的"t_sort"参数即'$str33',过滤了尖括号,那么就在input标签中触发xss即可,可以用onmouseover或者是onclick,需要将隐藏表单显示出来触发:
先闭合value值
payload为:url后加 &t_sort=xss" onmouseover=alert(/xss/) type="text"
payload为:url后加 &t_sort=xss" onclick=alert(/xss/) type="text"
