1.今天在皮卡丘靶场练习反射型xss(get),发现浏览器一直不会解析js代码。也是尝试了很多解决方法,希望对你有所帮助。
1.1 我的pikachu靶场部署在win2003中,然后我在www目录下写了一个xss.php的测试文件,如下:
<?php
$username = $_GET['name'];
echo "welcome $username";
?>
1.2 在本地测试
name=zhangsan'"><script>alert('xss注入成功')</script>
可以看到我这里使用了js代码,'"> 虽然进行了闭合但是却不执行后面的js代码,页面确显示撬棍转义符号。
1.3 解决方法一
清除浏览器所有cookie,历史访问记录等等信息。因为缓存有一定的可能是影响结果的,可以把这些东西全部清除之后,重新刷新再试一下,可以恢复正常(前提框架或者中间件进行没有自动的输入验证和输出转义)。
1.4 解决方法二
倘若也都已经删除,却发现还是不行,这时候可以使用下面方法,我的环境是搭建在win2003系统里面,搭建的pikachu靶场也是wamp架构,自然是最美丽的语言php所写的,使用了phpstudy搭建的环境,这时候magic_quotes_gpc可能会影响情况,我之前开启过一次,但是可能出现一些bug,开启关闭反复几次,再次刷新浏览器,就可以解决问题,可以正常解析js。
1.5 到此结束,希望可以帮到你,也愿希望支持和关注一下哈。