XSS 存储在数据库中。XSS 是永久性的,直到重置数据库或手动删除有效负载。
LOW
若输入 <script>alert(document cookie)</script>
会先显示1,点击确定后会出现cookie
MEDIUM
帮助:
开发人员添加了一些保护,但是并没有以相同的方式完成每个字段。
Spoiler: name field: <sCriPt>alert("XSS");</sCriPt>.
medium级别需要抓包,然后修改textname
下图就是将textname修改为了<scrIPT>alert(222)<scrIPT>
HIGH
Spoiler: HTML events.
这个也需要抓包,也要注意修改textname时,修改标签。