Pikacha靶场通关秘籍(持续更新)
2、Cross-Site Scripting
1、反射型XSS(get)
1)了解XSS跨站脚本攻击相关概念后,观察反射型XSS(get)的题目需求和包含的元素。
2)根据提问的问题,Which NBA player do you like?首先查看一下源代码,分析一下。
3)观察源代码后,确定是ger请求,根据提示输入kobe进行查询发现查询成功。
4)按照常规操作进行XSS脚本的语句构造,语句如下,结果发现输入框长度被限制,使用检查的方式修改文本框可输入数值长度,如图所示。
5)经过长度修改后可以输入构造的JS语句,点击执行出现弹窗,证明反射型XSS攻击成功。
