xss-games 各level的 write-up

xss-games 各level的 write-up

level1:直接即可

level2:在 基础上需要添加"> 进行闭合后通过

level3:源代码将我们输入的尖括号进行了转义处理(采用htmlspecialchars函数)

改用鼠标点击事件'onclick ='alert(2)点击后出现弹窗

level4:源代码看出它直接将尖括号过滤掉了

我们"onclick="alert(1)或者 "onmouseover="onclick=alert(1) 先对语句进行闭合后执行alert

level5本关将

  • onclick=alert(1)点击后出现弹窗
  • 生成链接
  • 将xss代码用hackbar编码后插入
  • 修改user-agent、referer、cookie头信息
  • 用\\ x3c表示< 用 \\x3e表 >(对于<>被过滤)

    • 防御方法:

    1. 采用htmlspecialchars()函数对标签转义(针对1,用onclick)

    2. 采用直接将尖括号空格等过滤掉(用2)
    posted @ 2020-09-14 23:41  cjz12138  阅读(185)  评论(0)    收藏  举报