08/19
刷题网站1 http://test.xss.tv
xss挑战需要用火狐浏览器,可能是谷歌浏览器对xss有保护措施。
xss挑战 level 1
第一题为反射性xss,直接构造参数为<script>alert(1)</script>
即可
xss挑战 level 2
查看源码发现输入框在Input标签中,先闭合标签,在插入。
"><script>alert(1)</script>
html健壮性很高,后面的括号甚至可以不用闭合。
xss挑战 level 3
输入框在Input标签中value字段,直接构造发现不可行,利用事件构造
' onmouseover='alert(1)'><'
xss挑战 level 4
改成双引号。
" onmouseover='alert(1)'><'
xss挑战 level 5
输入on发现输入o_n,应该是存在关键字过滤,
<script>
替换为<scr_ipt>
利用新方法,引入js函数