Pikachu靶场通关秘籍---Cross-Site Scripting---反射型XSS
Pikachu靶场通关秘籍---Cross-Site Scripting---反射型XSS
1)了解XSS跨站脚本攻击相关概念后,观察反射型XSS(get)的题目需求和包含的元素。
![](https://img2022.cnblogs.com/blog/1785869/202211/1785869-20221108094534125-1212074010.png)
2)根据提问的问题,Which NBA player do you like?首先查看一下源代码,分析一下。
![](https://img2022.cnblogs.com/blog/1785869/202211/1785869-20221108095001848-1186703279.png)
3)观察源代码后,确定是ger请求,根据提示输入kobe进行查询发现查询成功
4)按照常规操作进行XSS脚本的语句构造,语句如下<script>alert('XSS')</script>,结果发现输入框长度被限制,使用检查的方式修改文本框可输入数值长度,如图所示。
5)经过长度修改后可以输入构造的JS语句<script>alert('XSS')</script>,点击执行出现弹窗,证明反射型XSS攻击成功。