很多人建议让出一些基础教学,这里由浅入深的给出一些吧。案例直接参考 心伤的瘦子 之前发的系列教学漏洞来讲解。
1 先讲一讲,什么叫做输入和输出。如下图
可以看到,我们可以改变写入的内容,就叫做输入,然后网页中显示的内容,叫做输出。
然后有些时候,输出的部分是根据输入部分的改变而改变的,如果这个过程中,没有做好过滤,那么就会导致将一些恶意字符输出到页面中,这样就形成了XSS漏洞。
比如这里,我们给参数输入了一个标签,这时候由于没有做好过滤,直接对标签进行了输出,这样就会导致HTML标签在网页页面中解析,输出一个图片。
稍微改下上面参数的代码,score这个参数输入以下内容:
score=<img src=1 onerror=alert(1)>
可以看到,如下图,解析了img标签,触发了onerror事件,最终执行了javascript代码的alert(1),弹出了1
这就是一个最简单的XSS漏洞,你们学会了吗?