目录
3)burpsuite抓包修改(输入的内容不一致,保持区分)
2)双写绕过ipt>alert(/50zky_mtest_01_2/)
存储型
一、初级
1.发现正常输入name时,有长度限制,于是我们可以按F12打开源码
修改里面的maxlength的长度为100(改大就行)
2. 解决方法
1)在name框里注入<script>alert(/50zky_test01/)</script>
2)在message框里注入(输入的内容不一致,保持区分)
<script>alert(/50zky_test02/)</script>
3)burpsuite抓包修改(输入的内容不一致,保持区分)
(抓包是另一种方法,所有的xss都可以用这个方式)
<script>alert(/50zky_test03/)</script>
二、中级
1. 发现将message框的输入内容转化为HTML特殊字符,所以这个无法注入
Name框内的<script>整个字符替换为空,所以可以尝试用双写绕过或者大写绕过
2. 解决方法
1)大写绕过<script>alert(/50zky_Mtest_01/)</script>
2)双写绕过<scr<script>ipt>alert(/50zky_Mtest_01_2/)</script>
三、高级
1. 发现message框的输入增加的反斜杠
Name框的输入将<script>字符拆解,替换为空字符
2. 解决方法
换成别发标签,例如图片标签<img src=1 οnerrοr=alert(/50zky_Htest_01/)>
四、impossible级别
1.由于message和name框的输入,都转化为HTML特殊字符,无法攻击