ctf | D0g3 Games web xss1

今天给大家分享一下萌新楼主做的这道关于xss的题。话不多说先上图。


进入题目可以看到是一个搜索框,打开源代码进行一下搜索,在图二下方上可以清楚看到两个输出点,第一个是实体编码,但第二个就可以被用来注入我们构造的payload,加上题目之前的提示这道题就很明显了。我们构造payload:">

就可以成功alert弹窗找到flag!


在这里顺便分享两个小知识点:

1.alert()函数,我觉得W3上讲的很详细:alert()

2.第二个就是我们构造的这个payload,">是为了闭合前面的符号,基本的代码一定要看的懂,可能很多人跟楼主一样是萌新,但不要紧,多百度。

讲解摘抄自百度经验:这是一般用来测试一个 xss 是否能成功的绕过各种 html (entities) 防御机制而运行到的 script.

如果可以执行 alert()函数, 那就是可以执行任何 script 了. xss 的最基本生存空间就是这样.

相当于写一般程序的第一个程序 print "hello world!"



最后送上楼主偷的图

你可能感兴趣的:(ctf | D0g3 Games web xss1)