平台介绍
alf.nu/alert1是一个XSS训练平台,集结了一些常见的XSS漏洞利用场景,总共有29道题目
过关斩将
Warmup
题目源码
function escape(s) {
return '<script>console.log("'+s+'");</script>';
}
源码分析
从上述代码中可以看到此处输入点为参数s,输出点为return后面的字符串,参数在传递过程中未经过滤且直接拼接在要输出的字符串中,此处我们可以通过闭合字符串前面的'("',然后构造自己的恶意xss代码,使其执行,该漏洞属于反射型XSS
解题过程
构造payload如下:
");alert(1);("
Adobe
题目源码