XSS-Game Level 4

本文阅读 1 分钟
首页 安全分享,WEB安全 正文

第四关过滤了左右尖括号 ">","<" , 我们使用事件来绕过

img

源码中 , 过滤了 '>' 和 '<' , 标签用不了 

img

 img

使用 htmlspecialchars() 过滤标签 , 但未重新赋值给 $str , 所以不会造成影响

img

既然标签不能用 , 那我们就用事件绕过 , payload

" onclick="alert(4)

左边第一个双引号用来闭合value属性的左边双引号 , 第二个双引号用来闭合value属性的右边双引号

页面代码变化如下

<input name=keyword  value="'.$str3.'">    //拼接前
<input name=keyword  value="" onclick="alert(4)">    //拼接后

点击输入框,触发弹窗 , 过关

img

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/wangyuxiang946/article/details/118559730
-- 展开阅读全文 --
Redis底层数据结构--跳跃表
« 上一篇 04-28
BUUCTF Web [强网杯 2019]随便注
下一篇 » 06-24

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复