pikachu-Cross-Site Scripting通过攻略

反射型xss(get)

第一步：进入先将maxlength中的20修改大一些，以便我们可以输入更多的字符

第二步：输入<script>alert(1)</script>成功爆破 

反射型xss(post) 

第一步：点击提示得到用户名和密码登录

 第二步：输入<script>alert(1)</script>成功爆破 

存储型xss

在留言框里输入<script>alert(1)</script>成功爆破 

DOM型xsS

第一步：输入‘οnclick=“alert（1）”然后点击click me！

 第二步：点击如图所示，弹出1，爆破成功

 

DOM型xss-x

第一步：输入’οnclick=“alert(1)”然后如图所示进行点击

第二步：如图上所示进行点击，爆破成功 

 xss之盲打

第一步：在留言框里输入<script>alert(1)</script>然后提交

第二步:根据提示进入后台登陆，进入之后爆破成功

xss之过滤 

输入<sCript>alert(1)</sCript>然后点击submit，成功爆破

xss之htmlspecialchars 

第一步：输入οnclick="alert()"如图所示进行点击

第二步：点击如图所示，爆破成功

xss之href输出

第一步：输入JavaScript：‘alert（1）’

第二步：点击”自己点一下“吧哪里，成功爆破 

 

xss之js输出

输入‘</script><script>alert(1)</script>爆破成功