前言

接着写XSS的第二关,第一关在这里:

用处

一个招聘网站分为企业用户和个人用户,只有企业用户能下载个人简历,而个人简历的自我描述存在XSS注入,所以可以构造语句获取访问了此简历的企业账户信息,然后拿去下载简历。

解题过程

首先打开靶场看一下:

除了底部有一个评论外,没有找到其他的点了,所以在这里试一下吧

<script>alert(document.cookie)</script>

好吧,水了一篇

最后修改:2020 年 08 月 10 日 03 : 37 PM