a) 第一阶段,尝试在输入框输入
b) 第二阶段,尝试使用images标签创建JavaScript警报(加载图片出现事故,就会触发...目标:尝试使自己获得更多的奖励。
基本思路大致和DOM注入类似,输入ID后,通过抓包发现传入参数的规律,索性直接加上&check1004=on&check1005=on测试一下,结果一次通过。...目标:尝试绕过用户的授权,静默执行。
在页面定位到提交按钮,发现,点击按钮触发processData()函数,通过页面搜索,找到这个函数的位置,可知,它用来判断输入,来与后台交互
?
?...目标:在enter your three digit access code中存在此漏洞,这些输入将执行恶意脚本,要通过本课,您必须” alert()” document.cookie
观察,在开发者选项中...1.寻找优惠券代码
定位到输入框的位置,发现,存在一个键盘事件,会使用AJAX后台检测输入,
?
定位到form表单处,看到触发事件的位置是一个JS文件
?