大哥带的XSS练习LEVE2

HTML 属性 HTML 标签可以拥有属性。属性提供了有关 HTML 元素的更多的信息。 属性总是以名称/值对的形式出现，比如：name="value"。 属性总是在 HTML 元素的开始标签中规定。 属性和属性值对大小写不敏感。 始终为属性值加引号 属性值应该始终被包括在引号内。双引号是最常用的，不过使用单引号也没有问题。 在某些个别的情况下，比如属性值本身就含有双引号，那么您必须使用单引号 那我们就可以从这里入手了 这是一个输入的文本框 没有其他属性 那么我们可不可以通过构造其他的属性来进行攻击呐？？ 这里我们构造一个onclick onclick后面用“”括起来表示要执行的函数 例子?f=html5_ev_onclick 0X03输出在JS中(script标签间)的XSS 0X05<script>和”被过滤了这可咋整啊~~~XSS 在js中我们了解一下 _demo.com/Filter-xss1.php?xss=\x3C\x73\x63\x72\x69\x70\x74\x3E\x61\x6C\x65\x72\x74\x28\x27\x70\x6F\x72\x75\x69\x6E\x27\x29\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E 这里我们用编码绕过    0X06 好像都过滤了，好像都没过滤~~~XSS     切记 学习之路 少就是多 慢就是快