pikachu靶场之xss（1-3）

pikachu靶场之xss（1-3）

1.反射型xss(get)

直接输入<script>alert("haha")</script>，发现有字符长度限制，右键输入框，选择检查，删掉其中的maxlength="20"即可。重新输入<script>alert("haha")</script>，成功弹窗。

2.反射型xss(post)

点击右上角提示发现用户名和密码，登录后输入<script>alert("haha")</script>，成功弹窗。

3.存储型xss

老规矩，先试<script>alert("haha")</script>，成功弹窗了，并且每刷新一次页面都会添加一个新的xss攻击，存储型xss攻击的威力很大。