xss

目录

level 1

level 2

level 3

level 4

level 5

level 6

level 7

level 8

level 9

level 10 

level 11

level 12

level 13

level 14

level 15 

level 16

level 17

level 18

level 19

level 20

 啥都不懂的童鞋，可参考文章

xss概念理解：XSS跨站脚本攻击

xss常见标签：XSS常见触发标签

xss-labs下载地址https://github.com/do0dl3/xss-labs

查看网站源码，可以发现get传参name的值test插入了html里头，还回显了payload的长度

直接上payload，插入一段js代码，get传参

当然也能传其他的东西过掉第一关，建议参考XSS常见的触发标签 

我们在看一下这关的源码

没有啥过滤的，很普通，单纯插入即可

本关小结： JS弹窗函数alert()

查看网站源码 

第一个test可以跟上次一样直接插入js即可，我们先试试看

没成功，看一下源码

第一个test进行了html实体转义，但是第二个没有，我们只需要闭合掉双引号即可，构造payload