xss案例

首先进入XSS Game - Learning XSS Made Simple! | Created by PwnFunction打开环境

Ma Spaghet

在script里面给使用get传参给somdbody传一个值,若没有传值,默认传Somebody+Toucha Ma Spaghet!,赋值给spaghet,放在h2标签中,spaghet后会有一个innerHTMl的属性

script标签内有插入,但无法执行,切换img尝试

jeff关卡

复制代码
<!-- Challenge -->
<h2 id="maname"></h2>
<script>
    let jeff = (new URL(location).searchParams.get('jeff') || "JEFFF")
    let ma = ""
    eval(`ma = "Ma name ${jeff}"`)
    setTimeout(_ => {
        maname.innerText = ma
    }, 1000)
</script>

第一关一样

先get传参获取'jeff'的值,如果没有参数就默认为JEFFF

js获取到页面的jeff参数,并通过eval赋值给ma,再将ma复制到maname的text

Ugandan Knuckles

不能使用https://sandbox.pwnfunction.com/?html=&js=&css=.;

直接通过双引号闭合placeholder的参数

相关推荐
李少兄2 小时前
HTML 表单控件
前端·microsoft·html
学习笔记1013 小时前
第十五章认识Ajax(六)
前端·javascript·ajax
消失的旧时光-19433 小时前
Flutter 异步编程:Future 与 Stream 深度解析
android·前端·flutter
曹牧3 小时前
C# 中的 DateTime.Now.ToString() 方法支持多种预定义的格式字符
前端·c#
勿在浮沙筑高台3 小时前
海龟交易系统R
前端·人工智能·r语言
歪歪1003 小时前
C#如何在数据可视化工具中进行数据筛选?
开发语言·前端·信息可视化·前端框架·c#·visual studio
Captaincc4 小时前
AI 能帮你写代码,但把代码变成软件,还是得靠人
前端·后端·程序员
吃饺子不吃馅6 小时前
如何设计一个 Canvas 事件系统?
前端·canvas·图形学
Baklib梅梅6 小时前
无头内容管理系统:打造灵活高效的多渠道内容架构
前端·ruby on rails·前端框架·ruby
over6976 小时前
浏览器里的AI魔法:用JavaScript玩转自然语言处理
前端·javascript