自己准备的环境
window下
开启小p的apache和mysql,把靶场环境放到www目录下,在浏览器访问127.0.0.1/文件名
kali下
开启docker,先搜索docker search xss-labs ,然后拉取docker pull vulfocus/xss-labs,运行容器,映射到8088端口加载镜像docker run -dt -p 8088:80 vulfocus/xss-labs,然后浏览器访问kali的ip:8088地址,开启xss挑战之旅
简单的思路
可以借助浏览器自带的开发者模式,f12键,有些笔记本是Fn+F12。简单的一般就是script脚本弹窗警告开始尝试,然后再看是否大小写过滤,标签过滤,onmouseenter或者onerror属性,鼠标事件,οnmοuseenter= alert(1),鼠标经过弹窗警告1,
a标签href属性,加入script脚本,弹窗警告1<a href='javascript:alert(1)'>,还有编码绕过,把需要输入的内容进行编码转换,可以上网搜编译解译器
第一关
看url地址栏里的name,修改name里面的参数,输出到界面, 构造代码<script> alert('欢迎来钓鱼')</script>
成功通关
第二关
先随便输入一个参数,查看源码,发现值会传入value中,尝试闭合标签
成功闭合,闭合前面标签又写入弹框警告script脚本
"><script>alert(