XSS跨站之旅第04篇：XSS实践一：某在线教育网站的简单测试（1）

本blog的重要声明：
1、本blog所有言论与观点都是个人观点，与所在公司无关，不代表所在公司的态度。
2、本blog所有相关内容都是基于技术探讨，请不要用于恶意攻击。
3、本blog所有【未公开漏洞细节】的检测站点都会做隐藏处理。
4、转载本blog的任何文章请注明作者【Mars马尔斯】
5、以上声明将会出现在所有需要提示的文章中。

-----------------------------------------------------------------------------------------------------------------------

用Blog来写东西实在是一种折磨
对于强迫症患者来说调格式绝对是最讨厌的
没有之一...

-----------------------------------------------------------------------------------------------------------------------

我一直抱着实际操作比理论来的更快更直接。
当然当你对XSS有一个比较简单的认识之后，还是要有一个比较完整的理论体系。

这次直接写一个简单的XSS实践，检测的网站是某网上教育网站。
本漏洞【原型】来自乌云，厂商修补漏洞后，经过一个小小修改又可以了~
因为保护网站的关系，不能给出乌云链接和作者名称了，请原作者谅解。
这一篇之后再说明文中涉及到的一些知识。

看本文之前应该有些基础，不废话了，开始！

进入网站，注册账号，进入学习中心，选择【作业上传】
界面里问你学到了什么知识，当然是XSS的知识了，写入XSS测试代码，补充完100字~上传作业

很开心的看到提示“您的提交带有不合法参数，谢谢合作”
说明我们的测试代码给过滤掉了，难道这样就没了嘛要放弃了嘛?
当然不！这个提示也说明这里是个很大的突破口！
我们对测试代码进行简单的转码，转码之后再次提交！

这一次成功的上传作业了，因为绕过过滤了撒
网站还贴心的为我们含有XSS测试代码的作业分配了网址
复制网址，在另一台电脑上打开作业（不需要登录），ok，弹出提示框了。
回到【作业上传】页面，删除本作业，毁尸灭迹。