靶場內容：

該實驗室在評論功能中包含一個儲存的跨站點指令碼漏洞。要解決此實驗，請提交一條評論，alert該評論會在單擊評論作者姓名時呼叫該函式。

漏洞解析

• 在“網站”輸入中發表帶有隨機字母數字字串的評論，然後使用 Burp Suite 攔截請求並將其傳送到 Burp Repeater。
• 在瀏覽器中發出第二個請求檢視帖子並使用 Burp Suite 攔截請求並將其傳送到 Burp Repeater。
• 觀察到第二個中繼器選項卡中的隨機字串已反映在錨href屬性中。
• 再次重複該過程，但這次將您的輸入替換為以下有效負載以注入一個呼叫警報的 JavaScript URL： javascript:alert(1)
• 通過右鍵單擊、選擇“複製 URL”並將 URL 貼上到瀏覽器中來驗證該技術是否有效。單擊評論上方的名稱應該會觸發警報。

本文來自部落格園，作者：{Zeker62}，轉載請註明原文連結：https://www.cnblogs.com/Zeker62/p/15183796.html