书说前言:本文针对DVWA靶机实验,仅供参考。如有雷同,实属他抄。如有用于不轨途径,与本人毫无瓜葛。
XSS是一种发生在前端浏览器的漏洞。XSS某种意义上也是一种注入攻击,攻击者在页面注入恶意代码,当受害者访问网站该页面时,恶意代码就会在浏览器上执行。
XSS共有3种:反射型、存储型、DOM型。
反射型:
low级别:没有任何的过滤和检查,存在明显的XSS漏洞。
直接修改URL 然后执行
medium
对<script>做了黑名单限制
思路:抓包,利用双写和大小写混淆绕过
双写
大小写混淆