jquery代码做的网站,做存储各种环境信息的网站,国内做外单的网站有哪些,多终端响应式网站1get型 输入a看一下 接着输入a 发现没有被过滤当做标签处理了 尝试在表单提交的框里面#xff0c;输入xss语句 尝试输入scriptalert(1)/script 发现有长度限制 因为这里是get请求 get请求的特点是#xff1a;传参是在url中的 所以我们可以在…1get型 输入a看一下 接着输入a 发现没有被过滤当做标签处理了 尝试在表单提交的框里面输入xss语句 尝试输入scriptalert(1)/script 发现有长度限制 因为这里是get请求 get请求的特点是传参是在url中的 所以我们可以在url中输入xss语句scriptalert(1)/script 弹cookie scriptalert(document.cookie)/script 2反射型xsspost 点一下提示给了账号密码直接登录 输入aaa burp抓包 将aaa换为 scriptalert(1)/script 换为scriptalert(document.cookie)/script弹出cookie 3存储型xss 直接输入。。。。 scriptalert(1)/script scriptalert(document.cookie)/script 4DOM型xss 输入 scriptalert(1)/script 后报错 看下源代码 找找 what do you see?在哪 发现实在/a标签内的/a标签是超链接标签从一个页面到另外一个 a href(用单引号将闭合)οnclickalert(1)(在可控部分输入onclick事件)(用单引号将闭合)what do you see?/a 源码部分a hrefstrwhat do you see?/a 使用 οnclickalert(1) οnclickalert(document.cookie) 可以弹出 5DOM xss-x 这一关和XSS-DOM型xss的区别 在于这里有两个a标签 闭合代码尝试使用onclick οnclickalert(document.cookie) 6xss之盲打 随便 账号密码都输入 scriptalert(document.cookie)/script输入后直接提交成功 但是它暴露了登录的地址 拼接一下直接登录 登录的时候就已经有弹窗了因为刚才的输入已经保存进去了 7xss之过滤 我输入 scriptalert(1)/script等都发现显示的都一样然后就查看代码 他把输入的都过滤了 试试双写不行试试大小写可以 sCrIptalert(document.cookie)/scriPT xss之 htmlspecialchars 输入scriptalert(document.cookie)/script 一点就是报错 闭合了 那就 οnclickalert(document.cookie) 被记录点一下链接 8xss herf 额你怎么输都错了 scriptalert(document.cookie)/script 它都给你过滤了 使用伪协议 javascript:alert(document.cookie) 9xss之js 输入scriptalert(document.cookie)/script没反应 看看代码 尝试闭合 /scriptscriptalert(document.cookie)/script ; alert(document.cookie)//
