本文目录一览:
请教一道xss练习题
XSS 练习
from my wp blog
一个不错的网站,不错的渗透教程
虽然是很基础的东西,但是涵盖了好多知识
9道XSS练习题
解题过程
url参数直接写进html里面
?name=scriptalert(1)/script
若果过滤script/script
不妨sCript/sCript
全过滤则是PentestscripterLab显示PentesterLab
则是scripscripttalert(1)/scrip/scriptt
若果怎样的script都不管用了,制造一堆事件
a href=’javascript:alert(1)’
img src=’zzzz’ onerror=’alert(1)’ /.
onmouseout, onmousemove….
alter被过滤
用 eval 和 String.fromCharCode()
把ascii数字转成字符再执行,可以获得alert(1)
prompt 和 confirm也是弹窗
若果?name=的值是写入script/script里面的,比如var s=””
那就在?name=“;alert(1);”,把东西写到双引号直接,注意每句结尾的分号
hp会把输出的内容html编码,htmlentities,,,,但是单引号’不在内
有些post提交表单是使用PHP_SELF,那么action的值就是url
这样修改url,../example8.php/scriptalert(0)/script好了
面对静态文件,不要慌,看看里面的js怎么写的
js对url进行操作,写进html里,那就改url
把script嵌进里面/script
如何使用xss平台盗取cookie
截取的是你的网站的 xss真正的原理是将代码插入到某个网页里面,当浏览器访问这个网页的时候,就会执行你写的代码。如果这个代码具有获取cookies的功能,即可获得当前页面的cookies 然而不同的网站cookies是不同的,也是不允许互相访问的。
如何通过 XSS 获取受 http
要想获得xss,首先得有xss漏洞
引起XSS的主要原因是因为在前端在对用户输入的字符的过滤上没有过滤完全,导致用户输入的代码被执行。
要想获取XSS。
首先,你先确定输入的地方有XSS,一般来说来测试,就是在输入的地方使用javascript输入
javascri pt:alert('XSS')
如果在页面上弹出一个框,则证明有XSS漏洞
然后就可以使用javascript 来进行各种渗透,比如获取管理员cookie,蠕虫,等等漏洞
具体的原理,太多,写出来不方便,可以看百度百科
Xss本地模拟问题
模拟软件都容易出问题 期货公司一般都不怎么维护
只是为了让你熟悉一下交易软件的基本功能而已
最好不要指望他做单验证你的交易水平
就算是和实盘无缝结合 由于模拟单和实盘单面临的资金波动心理承受能力不一样
往往做出的行动也会差异
所以很多开户时候模拟做的很好的 一到实盘就不行了
最好开个实盘 一手一手的开始练习 才是正道
模拟一年 不如实战一个月感受深 而且模拟一旦养成不良的交易习惯
可能会让你再寻找正确交易方法的道路上付出更多的成本
有些学费是不能不交的 祝你好运