我们打开靶机

选择xss

选择“Example4”


PentestLab-web安全XSS注入-EXP4_get方法


观察


PentestLab-web安全XSS注入-EXP4_正则匹配_02


使用工具测试


PentestLab-web安全XSS注入-EXP4_get方法_03


选择get方法


PentestLab-web安全XSS注入-EXP4_get方法_04


输入url


PentestLab-web安全XSS注入-EXP4_get方法_05


使用默认字典


PentestLab-web安全XSS注入-EXP4_正则匹配_06


存在xss漏洞

payload为


"><img src=x notallow=prompt(1)>


测试结果


PentestLab-web安全XSS注入-EXP4_正则匹配_07


我们打开靶机

看源代码


PentestLab-web安全XSS注入-EXP4_get方法_08


使用正则匹配script标签,但是其他标签没有做限制。