xss案例

首先进入XSS Game - Learning XSS Made Simple! | Created by PwnFunction打开环境

Ma Spaghet

在script里面给使用get传参给somdbody传一个值,若没有传值,默认传Somebody+Toucha Ma Spaghet!,赋值给spaghet,放在h2标签中,spaghet后会有一个innerHTMl的属性

script标签内有插入,但无法执行,切换img尝试

jeff关卡

复制代码
<!-- Challenge -->
<h2 id="maname"></h2>
<script>
    let jeff = (new URL(location).searchParams.get('jeff') || "JEFFF")
    let ma = ""
    eval(`ma = "Ma name ${jeff}"`)
    setTimeout(_ => {
        maname.innerText = ma
    }, 1000)
</script>

第一关一样

先get传参获取'jeff'的值,如果没有参数就默认为JEFFF

js获取到页面的jeff参数,并通过eval赋值给ma,再将ma复制到maname的text

Ugandan Knuckles

不能使用https://sandbox.pwnfunction.com/?html=&js=&css=.;

直接通过双引号闭合placeholder的参数

相关推荐
某公司摸鱼前端2 分钟前
uniapp 仿企微左边公司切换页
前端·uni-app·企业微信
WKK_5 分钟前
uniapp自定义封装tabbar
前端·javascript·小程序·uni-app
莫问alicia6 分钟前
react 常用钩子 hooks 总结
前端·javascript·react.js
Mintopia15 分钟前
图形学中的数学基础与 JavaScript 实践
前端·javascript·计算机图形学
Mintopia21 分钟前
Three.js 制作飘摇的草:从基础到进阶的全流程教学
前端·javascript·three.js
BillKu22 分钟前
Vue3父子组件数据双向同步实现方法
前端·javascript·vue.js
红尘散仙41 分钟前
七、WebGPU 基础入门——Texture 纹理
前端·rust·gpu
jaywongX42 分钟前
Base64编码原理:二进制数据与文本的转换技术
前端·javascript·vue
红尘散仙42 分钟前
八、WebGPU 基础入门——加载图像纹理
前端·rust·gpu
佳腾_1 小时前
【Web应用服务器_Tomcat】一、Tomcat基础与核心功能详解
java·前端·中间件·tomcat·web应用服务器