1.反射型XSS(GET)(只会把XSS保存浏览器上,只有自己能看到,刷新页面就会消失只能用一次)
直接输入标签型XSS试试
<script>alert(1)</script>
输入到一半发现输入不了了,有长度限制
按F12,看一下前端代码
发现有长度限制,我们可以直接双击,把这个值改大就好了
继续我们的修改,点击提交
弹框了,说明存在反射型XSS
2. 反射型XSS(POST)(只会把XSS保存浏览器上,只有自己能看到,刷新页面就会消失只能用一次)
POST的XSS需要先登录一下
先用burp抓个包,然后爆破一下账号密码
账号密码爆破的结果是
账号admin 密码123456
登陆一下
发现出现一个和GET反射型XSS一样的框
尝试输入
<script>alert(1)</script>
提交