1.web316
直接简单的测试一下
<script>alert("hack")</script>
发现并没有防护,直接开整。
(做xss-labs-master魔怔了,愣是不知道flag在哪,看别人才知道flag在cookie那里)
好,我们开个项目直接做。
轻松解决。
网站在下面XSS Platform
http://xsscom.com/
2.web317
又是一波测试,发现它把<script>标签过滤了 。
那我们就用svg的,发现可以。
<img>标签,body,style,video都行的,不举例了。
可是我没有xss平台,拿不到cookie以后再面找个服务器再试试吧。