ctf.show之XSS(跨站脚本攻击)

最新推荐文章于 2025-03-04 06:34:13 发布

原创最新推荐文章于 2025-03-04 06:34:13 发布 · 293 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#xss #前端

1.概述

XSS被称为跨站脚本攻击(Cross Site Scripting)，由于和层叠样式表(Cascading Style Sheets,CSS)重名，改为XSS

主要基于JavaSript语言进行恶意攻击，因为js非常灵活操作html、css、浏览器。

2. 利用方式

利用网页开发时web应用程序对用户输入过滤不足导致将恶意代码注入到网页中，使用户浏览器加载并执行恶意代码，通常是JavaScript类型，也包括java，vbs，flash，html等。

3.执行方式

用户浏览被XSS注入过的网页，浏览器就会解析这段代码，就被攻击了，因为浏览器当中有JavaScript解析器，浏览器不会判断代码是否恶意，只要符合语法规则，就直接解析了

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Tux6969

关注关注

2
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

CTFshow XSS(web316-333)

Kradress的博客

03-18

988

这里我们发现管理员才能查看用户名和密码，如果我们在注册的时候写入xss的payload，就会在用户管理界面执行我们的xss代码。这题没有过滤什么，但是如果用img的话，拿不到flag，但是referer是bot，我猜测bot触发不了img的。试试用admin的cookie修改密码,但是没有用，可能cookie失效了。这题拿cookie也看不到flag了，不过多了一个修改密码选项。随便注册一个用户test，余额只有6块，买flag要9999元。发现输出为空，说明被题目限制了，但是。可以用frame注入。

XSS跨站脚本攻击

SYJ_361的博客

12-23

4510

本文介绍了XXS跨站脚本攻击的几种方法。其中包括对反射型XSS、存储型XSS和DOM型XSS的攻击，以及我们在kali中用到了beef和Setoolkit对目标进行信息获取。

参与评论您还未登录，请先登录后发表或查看评论

ctfshow——XSS

qq_55202378的博客

04-24

1674

跨站脚本攻击（Cross Site Scripting），为不和层叠样式表（Cascading Style Sheets，CSS）的缩写混淆，故将跨站脚本攻击缩写为 XSS。恶意攻击者往 WEB 页面里插入恶意 HTML 代码，当用户浏览该页之时，嵌入其中 Web 里面的 HTML 代码会被执行，从而达到恶意攻击用户的特殊目的。

ctfshow-xss(web316-web330)

m0_72125469的博客

07-03

1694

web317讲解相当细致精致练习XSSweb316这道题估计陆陆续续弄了半天因为xss可以说基本不会还好最终彻彻底底明白了首先这道题是反射性xss 也就是必须点击某一个xss链接才能达到xss效果这道题的意思就是写一个祝福语生成链接发送给朋友这个祝福语的位置就是我们实现XSS的位置已知：flag在BOT(程序，机器人)的cookie中并且生成的链接后端BOT会每隔一段时间访问所以要构造一个含有XSS的链接使得管理员只要访问就能获取BOT的cookie。

ctfshow XSS

quan9i的博客

06-28

1681

ctfshow XSS 316-333

CTFShow Xss

paidx0

08-12

1603

CTFShow Xss（学习）简单介绍一下Xss 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。 xss漏洞关键就是寻找参数未过滤的输出函数。常见的输出函数有： echo printf print print_r sprintf die var-dump var_export xss 分类：（三类）反射型XSS：<非持久化> 攻击者事先制作好攻击链接, 需要欺

简单易懂的XSS(跨站脚本攻击)

weixin_47204991的博客

10-29

2010

跨站脚本（简称为XSS或跨站脚本或跨站脚本攻击）是针对Web应用程序的安全漏洞攻击，允许用户插入恶意的脚本，从而当用户浏览网页时，插入的脚本就会执行。从而达到攻击的目的。 1.反射型XSS 反射型XSS又叫非持久性XSS，反射型XSS注入的恶意代码不会保存在服务器端，需要欺骗用户去点击恶意链接才能攻击成功。一般通过XSS来窃取用户的cookie。反射型XSS攻击流程： 2.存储型XSS 存储型XSS又叫持久型XSS，攻击脚本会永久存储在目标服务器中。例如在个人信息或者留言板之类的地方插入恶意脚本，用户访

【CTF-Web】XSS漏洞学习笔记（附ctfshow web316-333题目）

brhhh_sehe的博客

12-19

1133

用户在输入框中输入图片地址存储到str变量中然后在xss()函数里面给id为demo的标签设置内容（innerHTML）内容是加载图片，所以我们输入时放一个无法加载的图片，然后触发onerror事件，在这个事件里面可以触发弹窗，注意构造payload的时候一定要把img标签进行闭合。自己语言的转义：我认为就是在该网站中，比如说存在留言功能，然后攻击者留言了一段恶意代码，这段留言是别的用户也可以访问到的，在其他用户查看这段留言的时候服务器进行解析，导致执行一些危险行为，这个整段过程就是跨站脚本攻击。

ctf.show萌新web8

07-12

常见的漏洞类型包括但不限于 XSS（跨站脚本攻击）、SQL 注入、文件包含、命令执行等。了解这些漏洞类型，并尝试在页面上找到相关的漏洞点。此外，还可以尝试使用一些常见的工具，如 Burp Suite、OWASP Zap 等来...

ctf_show笔记篇（web入门---XSS）

whale_waves的博客

04-01

1890

这里简单对xss做一个了解：xss分为反射型和储存型反射型：一般是由攻击者选择攻击对象，对攻击对象发一个带有xss窃取cookie的页面的url，被攻击者点击就会动过document.cookie将用户信息一并发送给攻击方的服务器。反射型XSS一般发生在浏览器，当受害者访问含有XSS代码的页面时浏览器解析并执行XSS代码造成信息泄露。存储型：攻击方将恶意代码插入在存在漏洞的网站上，任何访问网站的人都会遭到攻击，比起反射型xss，存储型xss危害更大，范围更广。

CTFSHOW xss篇

羽的博客

12-28

9651

web316 xss平台 https://xss.pt/xss.php 创建项目选择默认模块一直下一步，然后随便那个代码放到题目输入框中再刷新下题目最后看下项目结束

CTFshow--web--xss

pwfortune的博客

07-16

1277

先在自己的服务器写上代码要拿到管理员的cookie , 而不是自己的。

CTFShow Web 入门 XSS

tj13995958709的博客

04-14

2721

这一题用上一题的做法就不行，这一题admin的cookie是一直在变的，而且很快，看到此题还有修改密码的功能，注册个普通账号，在修改密码时抓包。当将这行脚本代码提交后，稍等片刻，会有个类似admin管理员的程序每隔一段时间就查看我们提交的连接，然后就可以拿到admin的cookie。这道题它代码逻辑有问题，转账的不扣转账方的金额，所以可以一直向自己转账，转的金额不超过自己余额即可。直接让admin转自己10000，和上题让admin自己改密码思路是一样的。然后登录admin账号，密码输入123456。

CTF学习笔记——XSS攻击