进入网站访问
第一关:
get方法有个name参数,尝试修改参数为name=1,结果网页字符上返回的也是1。
查看下源代码,直接把name变量的值输出了,这时候尝试写入xss语句,很轻松弹框。
<script>alert(1)</script>
再次查看网页的源代码,h2标签后面出现了script语句,初始关卡大概没做好,过于相信用户输入导致的这个问题。
我们在进行后端源码查看,果然什么都没做读取name参数后就结束了。
分析:最简单的关卡直接把xss注入语句写入name参数,就能完成xss攻击。