进入网站访问

 

 第一关：

 

 

get方法有个name参数，尝试修改参数为name=1，结果网页字符上返回的也是1。

 

 查看下源代码，直接把name变量的值输出了，这时候尝试写入xss语句,很轻松弹框。

<script>alert(1)</script>

　

 

 再次查看网页的源代码，h2标签后面出现了script语句，初始关卡大概没做好,过于相信用户输入导致的这个问题。

 

 

 我们在进行后端源码查看，果然什么都没做读取name参数后就结束了。

 

 分析：最简单的关卡直接把xss注入语句写入name参数，就能完成xss攻击。