level-1 发现有个参数name, level1.php?name= 发现给参数传什么,页面就会显示欢迎什么 审查test处源码 发现被<h2>标签包裹 那么闭合标签,再加上弹窗语句即可 payload:name=</h2><script>alert(/xss/)</script> level-2 发现搜索框,跟上题类似,在输入框内输入,就会在上面显示与什么相关的结果。 同样的,进行元素审查 尝试和第一题一样的做法,闭合标签<h2>发现无效 发现直接输出了文本(待会解释为什么) 看一下其他地方的源码发现自己输入的东西会出现在这个地方
本文介绍了xss平台的一系列游戏挑战,从level1到level10,详细讲解了解题思路和技巧。通过分析源码、利用htmlspecialchars函数的漏洞、触发onfocus事件、绕过过滤等方式实现弹窗。每一关都涉及不同的XSS攻击手法,如闭合标签、插入属性、编码转换等,展示了XSS攻防的实践知识。
发现有个参数name,
发现被<h2>标签包裹
发现搜索框,跟上题类似,在输入框内输入,就会在上面显示与什么相关的结果。
尝试和第一题一样的做法,闭合标签<h2>发现无效
发现直接输出了文本(待会解释为什么)
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
