xss案例

首先进入XSS Game - Learning XSS Made Simple! | Created by PwnFunction打开环境

Ma Spaghet

在script里面给使用get传参给somdbody传一个值,若没有传值,默认传Somebody+Toucha Ma Spaghet!,赋值给spaghet,放在h2标签中,spaghet后会有一个innerHTMl的属性

script标签内有插入,但无法执行,切换img尝试

jeff关卡

复制代码
<!-- Challenge -->
<h2 id="maname"></h2>
<script>
    let jeff = (new URL(location).searchParams.get('jeff') || "JEFFF")
    let ma = ""
    eval(`ma = "Ma name ${jeff}"`)
    setTimeout(_ => {
        maname.innerText = ma
    }, 1000)
</script>

第一关一样

先get传参获取'jeff'的值,如果没有参数就默认为JEFFF

js获取到页面的jeff参数,并通过eval赋值给ma,再将ma复制到maname的text

Ugandan Knuckles

不能使用https://sandbox.pwnfunction.com/?html=&js=&css=.;

直接通过双引号闭合placeholder的参数

相关推荐
钛态2 小时前
前端安全防线:CSRF 攻击链路与双重 Token 校验的工程实现
前端·vue·react·web
张拭心3 小时前
技术管理笔记:让我“燃尽”的一天
前端
不好听6134 小时前
BFF 架构实战:从前端直调 API 到加入中间层
前端·架构
不好听6134 小时前
前端跨域完全指南:从为什么报错到三种解决方案
前端
三8444 小时前
路由策略/控制 配置双点双向路由重发布
服务器·前端·javascript
Qimooidea5 小时前
祁木 CAD Translator 工程图纸出海实战指南
服务器·前端·安全
小林ixn5 小时前
从BFF到SSE:我在Vue项目里藏了个“AI翻译官”
前端·vue.js·vite
元气少女小圆丶6 小时前
unity发布web嵌入到前端页面的接受参数
前端·unity·webgl
工业HMI实战笔记6 小时前
【拯救HMI】:低碳制造:自动化技术如何助力企业节能降耗
运维·前端·自动化·交互·制造
不简说8 小时前
JS 代码技巧 vol.4 — 10 个异步并发控制,Promise.all 这帮兄弟的踩坑实录
前端·javascript·面试