在玩游戏之前,我们先简单了解一下什么是XSS? 1.什么是xss
XSS攻击的全称是跨站脚本攻击。 它不与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,因此跨站脚本攻击简称XSS。 XSS 是 Web 应用程序中的计算机安全漏洞。 它允许恶意网络用户将代码注入到可供其他用户访问的页面中。
2.XSS原理
(1). 攻击者对漏洞丰富的服务器发起XSS攻击(注入JS代码)
(2)引诱受害者打开被攻击的服务器URL(短信、消息等,此步骤可选)
(3) 受害者在Web浏览器中打开该URL,并执行恶意脚本。
3.xss类型
(1)反射率:
非持久性,需要误导用户点击链接触发XSS代码(服务器中没有这样的页面和内容),通常容易出现在搜索页面上。
(2) 存储类型:
持久化,代码存储在服务器中,比如在个人信息中添加代码或者发布文章、留言板,如果没有过滤或者过滤不严格,那么这段代码就会存储在服务器中,用户访问的是代码执行时触发的页面。这些XSS比较危险,容易导致蠕虫、抢劫cookie等。
(3) DOM:
DOM,全称 DocumentObjectModel,是一个平台和语言中立的套接字,使程序和脚本能够动态访问和更新文档的内容、结构和样式。 虽然DOM型XSS是反射型XSS的一种特殊类型,但它是基于DOM文档对象模型的漏洞。
下面是一个 XSS 小游戏,可以帮助您了解有关 XSS 的更多信息:
这里有一个在线版本:检查站地址:
事实上,您也可以自己构建。 如何搭建,请自行百度。 (建议自己搭建,可以分析源码)
那么xss小游戏源码,让我们开始吧!
第一回合:
0、只要触发alert()函数就跳转到下一级,其他级别同理
1.先找到输入点
2.找到输出点
那么,我们应该如何输出呢? 我们来分析一波源码:
输出位于标签之间xss小游戏源码,因此构造简单:
还可以使用其他事件如onload、onclick、onerror、prompt、confirm等如: