我的XSS的奇幻之旅

Posted 2021-04-29 noteB

我的XSS的奇幻之旅

笔记

PAGE1

很久很久之前，下了个XSS的闯关题，但是只玩了几关，也扩展了很多新姿势。OK，现在是第一部分，可能就是前几关，因为我后面的还没做哈哈哈哈哈

笔记

PAGE2

软件：php运行环境，例如phpstudy

软件：火狐浏览器，其他浏览器无法弹窗

源码：等我找时间上传吧

笔记

第一关

将test替换为XSS测试语句

<script>alert("refeng")</script>直接弹窗了

笔记

第二关

看第一张图是在输入框输入内容，那么先输入语句

输入后从第二张图看貌似出现了点问题，没有正常弹出来

那个框后面多了">符号，查看源代码，也就是第三张图可以看出，应该闭合input标签。 在语句前面加上"><script>alert("refeng")</script>                    

笔记

第三关

第三关发现过滤了<>"等字符，把这些字符转义成了html实体编码

使用鼠标on事件等可以绕过onmouseover%3D'alert(1)'和 refeng'onmouseover%3D'alert(1)'

这两句都行，可以百度一下JS的on时间

未完待续.......

For you, a thousand times over

为你，千千万万遍。

——《追风筝的人》

为你，千千万万遍。支撑的是其誓死不该的忠诚和信仰。

撕心裂肺的感觉