这一道题可以直接在第一个输入框插入代码。
但是没有任何反应,这告诉我们需要利用第二个输入框。然后我们发现第二框会成功有一个 successfully,但是我们不知道发送到哪里去了。
这个时候我们呢需要一个XSS平台。建议自己搭建一个,但是这个有点小麻烦。这里就直接用的xss platform
把payload在第一个输入框提交,然后复制url到第二个输入框提交后,就会在xss platform里得到相应。
然后我们在项目内容就可以找到flag...
这道题作为ctf hub 技能树上唯一一道 XSS题目,还是很有启示意义的。在考虑XSS漏洞,不要只考虑。弹窗漏洞。要多想一想Cookie。。XSS的作用就是是获取cookie多莽。。
cookie相当于每个人的登录凭证,如果得到了别人的cookie,我们将可以不用输账号密码,直接登录。
搭建XSS平台教程
https://www.cnblogs.com/Cl0ud/p/12176961.html
Cookie 安全
https://blog.51cto.com/u_12723958/1913261