XSS Challenges通关:Stage #5

一、XSS Challenges介绍

靶场地址:http://xss-quiz.int21h.jp/

相对于别的靶场来说,这是一个模拟真实环境的xss平台,页面不会给出任何提示。

每关难度有所增加,需要不断精进自己的XSS攻击的能力。

二、Stage #5题目

三、思路

一看题目,这不跟第一题一样吗?上来就把最原始的代码粘进去了,竟然发现了如下神奇的事情:

看来是做了输入框的长度限制了。

想着通过使用Burp Suite进行参数修改,修改为:<script>alert(document.domain);</script>,看是否能够绕过(万一后端未做验证呢?),果然不能达到预期的效果,看来思路不对。

既然是对p1进行字符长度限制,那我是不是可以闭合p1就可以了?

尝试修改参数,改为:"><script>alert(document.domain);</script><"

Beego!!!

四、答案

查看思路内容,通过闭合p1标签,实现XSS注入。

文章作者:  BigYoung
版权声明:  本网站所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 BigYoung !



z