Cross-site scripting (XSS) bugs are one of the most common and dangerous types of vulnerabilities in Web applications. These nasty buggers can allow your enemies to steal or modify user data in your apps and you must learn to dispatch them, pronto! At Google, we know very well how important these bugs are.

玩点好玩的东西，发现Google在线上有个好玩的xss-game的闯关游戏(https:// xss-game.appspot.com)，就想去玩一玩，由于本人根本不会js，所以可能得一边学js一边闯关了。

In these videos from 2019, LiveOverflow explores an XSS vulnerability found in Google Search by the bug bounty hunter Masato. The first video demonstrates how the XSS Masato found on...

第一关是个非常脆弱的反射性xss攻击。 向url或者form表单中注入xss代码都可以实现攻击。 把下面的俩例子粘贴到表单中，点击搜索按钮： 如果把上面的俩例子注入到url中，点击go按钮（这个按钮是这个假浏览器的一部分），攻击可以生效。 唯一的限制就是，如果拼接到url后面代码中包含一个分号，是不会起作用的。 上面的第二个例子中，也可以省略分号，因为这script脚本只有一行。 b但是，如果把分号用url编码成 %3B,然后注入到url中，b也可以b攻击生效。 注意，还需要 …

Google立即做出反应，并在2019年2月22日修复了漏洞，撤销了之前9月份做的修改。另一位安全专家LiveOverflow详细描述了如何导致XSS。 XSS如何发生的？ Closure库中的漏洞很难检测。它依赖于一种很少使用的技术，叫做突变XSS。

2020年8月17日 · 1.Google在HTML sanitization时，使用了template。template是JavaScript Disabled环境。 2.noscript标签在JavaScript Enabled和JavaScript Disabled环境中的解析不一致，给XSS创造了可能。 3.Google本身有对输入进行额外的sanitization，但是，在某个修复其他问题的commit中被删掉了。

2019年7月19日 · Learn how to identify XSS vulnerabilities in React JS applications. Practical tips and coding examples included!

Welcome to the XSS Game. The goal of each level is to execute the alert function in JavaScript through an XSS vulnerability. Start playing!

2021年6月4日 · 1.下面就是利用谷歌黑客语法“intitle:管理员登陆”所找到的一个存储型的XSS漏洞。 首先进去就是管理员登陆的界面。 2.一般这种情况下都是先尝试一些常见的弱口令，如果行不通，再进行尝试暴力破解。

This level demonstrates a common cause of cross-site scripting where user input is directly included in the page without proper escaping. Interact with the vulnerable application window below and find a way to make it execute JavaScript of your choosing. You can take actions inside the vulnerable window or directly edit its URL bar.