xss-labs1-8题
一:
打开检查,将test直接放入h2的标签中,此时通过script绕过h2,构造payload并执行alert。
二:
打开检查,发现输入的123被放在input标签里面的value值。输入script函数后,并未闭合则加入单引号进行测试。
三:
打开检查,参数位置与2一样,输入2的代码。
发现参数均为value值,则闭合操作失效。
加入单引号进行测试失败,则现在不适用标签,可以使用onfocus事件进行触发。
四:
使用3的代码进行测试,代码并未闭合成功,将单引号变为双引号再次测试。
五:
先用script和obfocus进行测试,发现onfocus和script都被替换,此时就要考虑使用a标签href链接的应用,通过跳转到另一个页面绕过网页。构造payload运行,此时href并未被替换。
