XSS Challenges通关:Stage #6

一、XSS Challenges介绍

靶场地址:http://xss-quiz.int21h.jp/

相对于别的靶场来说,这是一个模拟真实环境的xss平台,页面不会给出任何提示。

每关难度有所增加,需要不断精进自己的XSS攻击的能力。

二、Stage #6题目

三、思路

页面一看,这不跟以前的一样吗?

来试试标签闭合!!!

嗯~~~~ 果然不行,通过BurpSuite看一下发送的请求,果然是对特殊符号做转义了。

看看Hint的提示:事件属性

因为搜索后,页面会把输入框中的内容重新显示在页面上,这就可以通过构造value闭合,实现增加Input标签的属性事件。

四、答案

输入框输入:sss" onmouseover="alert(document.domain)">