菠萝吹雪's Studio.

xsss挑战笔记

字数统计: 224阅读时长: 1 min
2019/05/12 Share

前言

最近发现一个网站可以练习xss,很不错
网页地址:

1
http://test.xss.tv/

源码地址:

1
https://pan.baidu.com/s/1KtG3HzyzVf-U4SU7WyUsMA 提取码: 2333

level 1

无任何防护的xss
直接<script>alert(1)</script>就过了
1.png-25.6kB

level 2

查看源码发现可能存在两处xss
2.png-45kB

1.是在<h2>标签那里
2.是在<input name>那里
经测试,第一个xss点貌似不存在xss(后来查看源码发现用了htmlspecialchars()函数进行过滤,这个函数把预定义的字符转换为HTML实体,等于<不能用),第二个点可以在value那里可以用双引号进行闭合,然后用进行xss
payload为:

1
2
keyword="onclick=alert(1)>
keyword="><script>alert(1)</script>

level 3

查看源码后依旧尝试 level2的payload发现双引号被转义了,可以

(后续更新)
·····································我是分割线································

CATALOG
  1. 1. 前言
    1. 1.1. level 1
    2. 1.2. level 2
    3. 1.3. level 3