万能检测语句
<SCRscriptIPT>’”()Oonnjavascript
,通过它我们可以知道过滤了那些东西。
这条语句将给我们本次的闯关之旅带来极大的帮助。
第一关
[POC:<script>alert(/pig/)</script>]
首先看到了有查询字符串,我们心花怒放了。
先万能检测一下
好家伙啥都没有过滤,那就很easy了
第二关
[POC: ”><script>alert(/pig/)</script>]
有输入框,万能检测一下,去看看代码
什么都没有过滤我们只要把value和input标签一闭合就搞定了
输入”><script>alert(/pig/)</script>即可
第三关
[POC: ‘type=’button’ onclick=’alert(/pig/)’]
万能检测查看源代码
双引号”被过滤了
可以用单引号’把value闭合,再创建一个事件即可
第四关
<