当前位置: 首页 > article >正文

pikachu-XSS闯关挑战

get

message=<script>alert("123")</script>&submit=submit

post

可以暴力破解账号密码,但由于是XSS练习,点右上角的提示,就可以登陆

直接在输入框中输入

<script>alert("123")</script>

存储型

<script>alert("123")</script>

DOM

随意输入可以看到提示

进入源码找到提示,将标签闭合

' onclick="alert('123')"

xss-x

同样的语句,链接点两次

盲打

在留言板输入,发现没有变化,在提示中看到登陆后台

<script>alert("456")</script>

在后台可以看到弹窗

过滤

输入发现被过滤

大小写混合,成功

<SCriPt>alert("123")</sCrIPt>

html

可以看到源码时链接

输入

javascript:alert(/xss/)

href

输入上一个,点击链接即可

js输出

看到源码是一个script语句,将前面的闭合,再写一个新的弹窗

</script><script>alert("123")</script>

http://www.kler.cn/a/371217.html

相关文章:

  • 【Linux】Zookeeper 部署
  • 【Spring框架】Spring框架的开发方式
  • 力扣题86~90
  • QT编辑框带行号
  • 粉体包覆机、粉体干燥机、球磨机、整形机
  • Mybatis有哪些版本
  • 零售EDI:HornBach EDI 项目案例
  • 探索国际数据空间(IDS)架构(上)
  • 控制台安全内部:创新如何塑造未来的硬件保护
  • Android Studio获取本地aar,最新依赖jar/aar
  • Geotrust SSL证书
  • 推荐一款开源的免费PDF编辑工具:CubePDF Utility
  • 用Python在Excel工作表中添加、修改及删除超链接
  • 【MySQL】 运维篇—MySQL安装与配置:常用配置文件的解析与优化
  • Linux下使用C/C++进行UDP网络编程
  • ai说ajax
  • 构建灵活、高效的HTTP/1.1应用:探索h11库
  • 青少年编程与数学 02-002 Sql Server 数据库应用 19课题、数据库设计实例
  • NPU 神经网络处理单元
  • el-date-picker日期选择器,如何通过v-model绑定两个变量(还能正常回显)
  • <十六>Ceph mon 运维
  • 重学SpringBoot3-怎样优雅停机
  • Tree of Thoughts: Deliberate Problem Solving with Large Language Models
  • 数据结构——基础知识补充
  • 有趣智力题(非编程题)
  • 【linux网络编程】| socket套接字 | 实现UDP协议聊天室