Pikachu靶场通关秘籍---Cross-Site Scripting---反射型XSS

Pikachu靶场通关秘籍---Cross-Site Scripting---反射型XSS

 

 

1）了解XSS跨站脚本攻击相关概念后，观察反射型XSS（get）的题目需求和包含的元素。

 

2）根据提问的问题，Which NBA player do you like？首先查看一下源代码，分析一下。

3）观察源代码后，确定是ger请求，根据提示输入kobe进行查询发现查询成功

4）按照常规操作进行XSS脚本的语句构造，语句如下<script>alert('XSS')</script>，结果发现输入框长度被限制，使用检查的方式修改文本框可输入数值长度，如图所示。

 

5）经过长度修改后可以输入构造的JS语句<script>alert('XSS')</script>，点击执行出现弹窗，证明反射型XSS攻击成功。