我们来到pikachu的xss靶场
还是按照之前讲过的思路,我们首先要确定这个地方有没有xss漏洞,我们可以输入一些特殊符号
,来看看这些特殊符号会不会被过滤掉,然后再看看会不会输出结果
我们点击提交后发现,他会这样显示
然后我们打开页面的源码
按Ctrl+F进行搜索,找到我们刚才输入的字符
这个字符被输出到了HTML中的p字头里面,这样的话,如果我们在这个地方输入一个符合语言环境的字符串,是不是可以返回回来,当我输入到这个长度时发现输入不了了,他应该是限制了字符,但这其实没什么太大作用,我们可以点开开发者选项
我们在底下发现了他限制了字符长度,我们改的多一点就行了
输入这个payload
<script>alert('xss')</script>
提交后会这样显示,代码成功的被浏览器执行了
我们再刷新这个页面后,按照之前讲过的,这个源码就会没了
那么我们再来演示一个xss的场景
还是用上面的payload,同样的字符长度限制还要改一次
因为这个代码是以get方式提到后台的,所以我们可以把整段url复制下来,并且粘贴到新建的页面中,可以发现,他又被显示出来了
也就是说,xss的漏洞还是比较好利用的,我们只需要发挥想象力,对这个url多加改动,我们可以做任何事情,如果把链接发给别人,别人可能会觉得链接没什么问题,就会点进去,再点完以后,他就会向后台发送一个恶意的payload