xss-labs-master
level 1
查看源码:
发现没有任何限制;直接就是个输入直接输入<script>alert(1)</script>
level 2
把上一关的代码输入,没有反应;
查看源码;
原来是它将我们的值输入了value里面,直接实体转义。
所以我们要将input标签闭合。输入"><script>alert(1)</script>
level 3
输入<script>alert(1)</script>
查看源码、
发现过滤了<>,同时我们也注意到前面为单引号闭合。
这时候我们就要进行其他语句的更换:
输入test 'onmouseover='alert(1)
level 4
输入<script>alert(1)</script>
查看源码
发现过滤了尖括号
所以我们输入" onclick="javascript:alert(2)
level 5
输入<script>alert(1)</script>
查看源码
发现过滤了<