pikachu-xss

反射型xss(get)

1.字数限制

按原本的做法,应该先写一个script标签测试一下,但是发现有字符限制。

2.解决方法

这里有两个可以插入的地方,一个是submit的提交框,另一个是url地址栏

submit:修改源码的字符限制,再填入pqyload即可

url:直接填payload,但是要考虑它的浏览器会不会转换url编码,如果不会,就需要手动在payload中修改

得到cookie:<script>alert(document.cookie)</script>

反射型xss(post)

1.登录

查看提示(可以尝试sql注入),直接登录进去,与上一题不同的是在url请求的方式变为了post

2.用payload获得cookie即可

储存型xss

1.直接提交payload即可

注意:

这个题目的目的是想让我们知道储存型xss的危害,我们查看源码就可以看到,我们插入的语句保存在了源码中,会存储在成很大的危害

DOM型xss

1.写一个script标签试一下

可以看见输入以后回显what are you see ,其余没有什么,我们点击右键------产看源码然后f5输入what are you see,这样就能看到了

右键-检查-使用ctrl+shift+c来查看输入后的语句,可以通过这个方法测试如何闭合标签和引号

2.代码审计

看其中包含what are you see 的语句,意思是它利用了DOM将字符串进行了拼接并把值给a标签的href,然后输出一个what do you see?

根据这个,我们就可以构造出我们的payload

复制代码
#' onclick="alert(document.cookie)">
相关推荐
IT_陈寒25 分钟前
Vue3性能提升30%的秘密:5个90%开发者不知道的组合式API优化技巧
前端·人工智能·后端
我是华为OD~HR~栗栗呀37 分钟前
华为od-22届考研-C++面经
java·前端·c++·python·华为od·华为·面试
老黄编程40 分钟前
FireFox如何滚动截屏?
前端·firefox
_殊途2 小时前
HTML-CSS项目练习
前端·css·html
@AfeiyuO2 小时前
el-table 表格嵌套表格
前端·elementui·vue
我是华为OD~HR~栗栗呀3 小时前
华为OD-23届-测试面经
java·前端·c++·python·华为od·华为·面试
β添砖java4 小时前
vivo响应式官网
前端·css·html·1024程序员节
web打印社区9 小时前
使用React如何静默打印页面:完整的前端打印解决方案
前端·javascript·vue.js·react.js·pdf·1024程序员节
喜欢踢足球的老罗9 小时前
[特殊字符] PM2 入门实战:从 0 到线上托管 React SPA
前端·react.js·前端框架
小光学长9 小时前
基于Vue的课程达成度分析系统t84pzgwk(程序+源码+数据库+调试部署+开发环境)带论文文档1万字以上,文末可获取,系统界面在最后面。
前端·数据库·vue.js