(一)XSS攻击
1.XSS Alert;
(1)访问www.dvssc.com,在Train中的Username输入:admin’or’1=1,登录网页,选择Mutillidae,在Core Contrals的Retister中注册Alice和Bob两个用户。
(2)以Alice身份登录,在左侧菜单中选择 A2-Cross Site Scripting (XSS),点击“Add to your blog”,输入<script>alert(’XSS’);</script>,点击“Submit”,弹出XSS文本框,脚本注入完成。
(3)以Bob身份登录,在左侧菜单中选择View someone’s blog,选择Alice的blog,点击“Submit”。弹出XSS文本框,反射型XSS攻击成功。