了解XSS的作用↓
盗取cookie(直接登录管理员后台)
如何判断存在XSS↓
弹窗测试payload
<script>alert('xss')</script>
//< script > 开始js语句
//< /script > 结束js语句
Alert('内容') //js的弹窗语句
HTML中标记通常是成对出现。
常用语句
<script>alert(xss)</script>
我们输入一个r3bug提交查询就会返回一个r3bug
我们的输入内容位于↓
<br>这是我们可以控制的部分</body>
我们提交一个普通xss攻击代码
我们在这里输入1
下面就会输出内容1
输入一个xss代码
返回一个xss代码 可见比刚才那个难一点
我们查看源码
这里的两个引号是<input >中的内容
我们插在里面并不会执行成功 所以我们需要闭合绕开
"><script>alert('xss')</script><"
成功弹窗
正常xss提交
也是输出 并不弹窗
textarea中内容把xss干掉了 我们来绕过
</textarea><script>alert('xss')</script><textarea>
让他们提前结束 分成两个内容
我们xss在中间执行
不过这样就特么出现一个框
我们使用个正常的
没有框
反正他前面结束了 然后会直接执行我们的语句 都已经执行了 不用管他