我们通过在url中的keyword处输入恶意代码来进行xss攻击,发现没有成功,进行分析
(input标签中的type=hidden代表此标签隐藏,隐藏只是在网页页面上面不显示输入框,但是虽然隐藏了,还是具有form传值功能。一般用来传值,而不必让用户看到)
我们发现有三个隐藏的input标签,并且只有h标签修改了,input标签没有改变,因为input是隐藏的,所以不会触发事件,需要通过其它方法触发。根据他们的name构造传值,让它们的type改变,不再隐藏,谁出来了谁就能利用。
发现t_sort的value发生了改变,因此利用此标签进行攻击,首先需要使文本框显示出来,因此构造语句:"type="text"// 第一个双引号用来闭合前面value,后面用来把标签隐藏属性改为text属性
构造语句进行攻击发现”>,<”被过滤了,换另一种语句
“οnclick=javascript:alert(1) type=”text”