xss案例

Aoi_MuKou2024-08-19 23:12

首先进入XSS Game - Learning XSS Made Simple! | Created by PwnFunction打开环境

Ma Spaghet

在script里面给使用get传参给somdbody传一个值,若没有传值,默认传Somebody+Toucha Ma Spaghet!,赋值给spaghet,放在h2标签中,spaghet后会有一个innerHTMl的属性

script标签内有插入,但无法执行,切换img尝试

jeff关卡

复制代码 
<!-- Challenge -->
<h2 id="maname"></h2>
<script>
    let jeff = (new URL(location).searchParams.get('jeff') || "JEFFF")
    let ma = ""
    eval(`ma = "Ma name ${jeff}"`)
    setTimeout(_ => {
        maname.innerText = ma
    }, 1000)
</script>

第一关一样

先get传参获取'jeff'的值,如果没有参数就默认为JEFFF

js获取到页面的jeff参数,并通过eval赋值给ma,再将ma复制到maname的text

Ugandan Knuckles

不能使用https://sandbox.pwnfunction.com/?html=&js=&css=.;

直接通过双引号闭合placeholder的参数

相关推荐
一点一一9 分钟前
从输入URL到页面加载:浏览器多进程/线程协同的完整逻辑
前端·面试
HelloReader22 分钟前
Tauri 的安全架构Capabilities 与 CSP
前端
阿懂在掘金27 分钟前
Vue 表单避坑(二):多个 v-model 同时更新,为什么数据丢了?
前端·vue.js
鹏北海37 分钟前
Qiankun 微前端实战踩坑历程
前端·架构
前端一课1 小时前
OpenClaw 项目全面架构分析报告
前端·人工智能
HelloReader1 小时前
Tauri 的 Capabilities 权限管理系统
前端
喵爱吃鱼2 小时前
关于我明明用了ref还是陷入React闭包陷阱
前端·react.js
an317422 小时前
解决 VSCode 中 ESLint 格式化不生效问题:新手也能看懂的配置指南
前端·javascript·vue.js
汪汪队长4 小时前
谷歌浏览器自定义油猴插件
前端
ZFSS4 小时前
SeeDance Tasks API 的对接和使用
前端·人工智能
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04本地部署 OpenClaw + DeepSeek-R1 完全指南05OpenClaw优化飞书API 额度已耗尽问题06Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services07Window 10部署openclaw报错node.exe : npm error code 12808小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)09OpenClaw大龙虾机器人完整安装教程10让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南