xss-labs 靶场

免责声明

本博客文章仅供教育和研究目的使用。本文中提到的所有信息和技术均基于公开来源和合法获取的知识。本文不鼓励或支持任何非法活动，包括但不限于未经授权访问计算机系统、网络或数据。

作者对于读者使用本文中的信息所导致的任何直接或间接后果不承担任何责任。包括但不限于因使用本文所述技术而可能导致的法律诉讼、财产损失、隐私泄露或其他任何形式的责任。

在进行任何渗透测试或安全研究之前，请确保您已获得所有必要的授权，并遵守适用的法律和道德准则。未经授权的安全测试可能违反法律，并可能导致严重的法律后果。

本文中的内容仅供参考，不应被视为专业建议。在进行任何安全相关活动之前，建议咨询具有相应资质的专业人士。

作者保留对本博客文章的所有权利，并有权在未经通知的情况下进行修改或删除。

正文部分

目的：学习 xss 注入知识

系统环境：

        攻击机：Windows 11

        靶机：192.168.162.100:8083

工具：

        Google浏览器、BurpSuite、HackBar

1、level1

        没什么可说的，url中修改参数

        payload：level1?name=<script>alert()</script>

2、level2

        修改url中的参数，发现没有注入成功，来看看网页源码是怎么个事儿

        

        可以看到，刚才输入的内容被传递到 value 中，此时构造语句闭合 value 的双引号

        payload：level2.php?keyword="><script>alert()</script>&submit=搜索

3、level3

        修改url中的参数，没有注入成功，查看并分析网页源代码