XSS学习

题目网站：test.xss.tv    官方WP:https://www.cnblogs.com/r00tuser/p/7407459.html

Q1:一番输入验证 得知注入在name 然后是XSS F12查看源码

    payload1:

    payload2:     eg:onerror会在图像加载错误时触发

    payload3:

Q2:

    有2个注入点:

        

    3种playload:

        1. 闭合

标签:    "

   eg: 开始打的是然后发现不行，才发现注入点一直只有get那里  h2标签是不行的 所以只有1个注入点 然后playload 这那就只有2种了  这个也是闭合input标签的。

        2. 闭合标签:  ">           eg: 最开始我是这也闭合的："发现不行 测试了一番 发现会把"* 转换成 "* "=" 所以不可以，后来突发奇想这样闭合：">然后就可以了.

        3. 闭合标签:  "onclick-alert(1)> 需要点击下输入框， οnmοuseοver=alert(1) 要鼠标滑过输入框    eg: 在前端代码里面插入.

Q3:

    尝试注入发现过滤了<>然后要使用'去闭合而不是"。打算用/u003c和/u003e绕过但是好像过滤了/（小白不感确定）

看了官方的playload，如下：

    playload: ' οnclick=alert(1) %0a    eg：使用%0a做换行使得input标签语法正确。

        

Q4：

    和Q3一样 把 ' 改成 " 就好

Q5:

    1. 会把单独的on，变成

    3. 输入">，会消失不见

    3*输如">这解释了3

    4. 输入">出现不知名黑魔法......实在没看懂为什么变成这样

    5. 然而我还是没想到解决办法以后会想到的

    6. 官方playload：

        playload: :>    eg: 标签的href属性用于指定超链接目标的URL，href属性的值可以是任何有效文档的相对或绝对URL，包裹片段标识符和JavaScript代码段。

    

Q6:

   过滤了src，on但是可以通过大小写绕过

(明天继续嘿嘿嘿，做点别的)

Q7: