攻破黑市最流行的釣魚網站（第二彈）

上次有人向我反映，我講的過於快了，不適合菜鳥看，所以這次我寫的相對來說比較詳細~ 這對於有基礎的人來說可能比較煎熬，哈哈。大家秒懂的部分可以跳過~~

也可以看看我的第一篇：《攻破黑市最流行的釣魚網站》。

這次的比較簡單：對一個目標網站進行

白盒測試

，

這是後臺

可以看到，這邊是一個釣魚網站

對目標進行XSS白盒測試

點選領取禮包，這裡會彈出一個登入框

我們隨便輸入一個賬戶密碼

透過抓包修改裡面的引數

目測，這裡就兩個引數可以測試， 一個user 一個password

放上自己最常用的payload 在password 內

user=123123112312&password=123123“>//&submit=%E7%99%BB%E5%BD%95

”> 是

閉合標籤

是彈窗//為註釋掉後面的語法

現在我們進入後臺檢視，

可以看到，很明顯的，我們的

img標籤

已經執行成功了，但是沒有彈窗，這是為啥？

對其右擊-檢視原始碼

檢視他的屬性，我們發現，alert後面的語句沒有執行？ 那麼，我們換個標籤試試

再次請求資料

user=123123112312&password=123123“>