一、XSS Challenges介绍
靶场地址:http://xss-quiz.int21h.jp/
相对于别的靶场来说,这是一个模拟真实环境的xss平台,页面不会给出任何提示。
每关难度有所增加,需要不断精进自己的XSS攻击的能力。
二、Stage #5题目
三、思路
一看题目,这不跟第一题一样吗?上来就把最原始的代码粘进去了,竟然发现了如下神奇的事情:
看来是做了输入框的长度限制了。
想着通过使用Burp Suite进行参数修改,修改为:<script>alert(document.domain);</script>,看是否能够绕过(万一后端未做验证呢?),果然不能达到预期的效果,看来思路不对。
既然是对p1进行字符长度限制,那我是不是可以闭合p1就可以了?
尝试修改参数,改为:"><script>alert(document.domain);</script><"
Beego!!!
四、答案
查看思路内容,通过闭合p1标签,实现XSS注入。
