DVWA-XXS(Reflected)

已于 2024-02-24 18:14:35 修改
阅读量387 收藏 9
点赞数 7
文章标签: javascript 前端 web安全
于 2024-02-24 18:14:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52333044/article/details/136274137
版权

反射型xss(非持久型):需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。特点:弹窗警告、广告;javascript;在浏览器中执行。

目录

Low

Medium

High

impossible

Low

没有任何防御直接运行搜索框里面的内容

所以输入<script>alert('xss');</script>

可以看到代码插入程序中

Medium

str_replace函数:替换字符串的内容,把内容中<script>替换成空

方法

  1. 大小写混写绕过:<Sript>alert('xss')</script>
  2. 双写绕过:<sc<script>ript>alert('xss')</script>
  3. 其他标签绕过:<img src=1 οnerrοr='alert("xss")'>

High

对preg_replace 函数对<script>无论大小都进行了过滤,那么我们就使用其他标签进行利用

<img src=1 οnerrοr=alert("xss")>

#src属性是引入图片的地址, src错误的时候,执行 alert("xss") 

impossible

增加了chekToken函数,,增加了token验证防止,CSRF攻击

htmlspecialchars函数,把字符串转换成实体,防止变成html元素,直接打印出来。

殇ベ言清欢
关注
  • 7
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DVWAxxs练习
QQ7462212的博客
03-04 550
XXS(DOM) 1.Low 输入:default= XXS(Reflected) LOW 1.等级及解法: 解法:输入 2.成功弹窗: 二、MEDIUM 1.等级及解法 解法:输入<sc 2.成功弹窗: 三、High 1.等级及解法 解法:输入< img src=# οnerrοr=alert(“xss”)> 2.成功弹窗: XXS(Stored) 1.Low 输...
DVWA靶场练习-XSS(Reflected
xxwithyou的博客
05-19 205
使用img标签可以正常显示,使用这个代码,依然报错,猜测是有scr的都会过滤掉,这个时候使用不使用伪代码,使用img标签中的onerror属性,通过源码分析,我们可以看出来,代码中添加了一个正则匹配,匹配< 后包含有script的任意字符串,导致我们之前含有< script的内容都被替换成了""字符。可以看到,最后将下面的Hello 反馈到了输出的界面,导致页面解析了弹窗。
DVWA之xss
giun的博客
03-11 999
一、反射(reflected)型 (一)、尝试low等级 输入正常数字,返回以下内容 再输入&amp;lt;xss&amp;gt;发现,只输出了hello 我们使用火狐的开发者工具查看下元素 发现hello的后面是一对xss标签 我们进行弹窗测试 输入&amp;lt;script&amp;gt;alert(/xss/)&amp;lt;/script&amp;gt; 发现弹窗,说明存在xss注入 介绍javaScript的3个弹
DVWA(四)】XXS反射型跨站攻击
未配妥剑 已入江湖
06-23 235
XXS反射型跨站攻击(Reflected Cross Site Scripting) 概要: 跨站攻击是指入侵者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行。由于HTML语言允许使用脚本进行简单交互,入侵者便通过技术手段在某个页面里插入一个恶意HTML代码,例如记录论坛保存的用户信息(Cookie)...
DVWA(六)】XXS DOM跨站攻击
weixin_30894389的博客
06-25 102
XSS DOM跨站攻击(DOM Based Cross Site Scripting) 前言: DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。DOM型XSS其实是一种特殊类型的反射型XSS,它是基于DOM文档对象模型的一种漏洞。 DOM与前两种XSS跨站攻击(反射型、存储型)不同之处在于:...
DVWA XSS总结
iO快到碗里来
08-28 587
DVWA XSS(Reflected) low 未进行过滤,构造payload:<script>alert("x");</script> medium 过滤规则:把< script>用str_replace()函数替换为空。 尝试双写<script>标签:<sc<script>ript>alert("x");</sc</script>ript>--> 发现返回hello ript>:问题很奇怪,查看
DVWA】--- 九、反射型XSS(XSS Reflected)
qq_43168364的博客
05-31 729
XSS Reflected 目录 一、low级别 二、Medium级别 三、High级别 四、Impossible级别 五、预防方法 一、low级别 这里输入的内容会回显出来 构造js代码:<script>alert(/hack/)</script>,会出现弹窗 此时前端的html中已经有我们插入的代码了 但是当我们再点击以下改模块时里面的代码就会消失,这就是反射型的XSS它时临时的 代码审计 header(“X-XSS-Protection: 0”):X-XSS-Prot
2019-3-4 dvwa学习(6)--反射型XSS攻击
weixin_42555985的博客
03-04 1954
什么是反射型XSS攻击(Reflected XSS Attacks)? 先来解释一下反射型XSS攻击的过程:攻击者把恶意代码注入到正常的URL之中,然后把带有恶意代码的URL通过邮件或者其他网站链接形式发送给用户。当用户被诱骗点击恶意链接、提交精心设计的表单,甚至浏览恶意网站时,注入的代码会传到易受攻击的网站服务器。服务器端接收数据处理后,再把带有恶意代码的数据返回用户的浏览器。由于数据来自可信网...
DVWA的搭建和使用
橘子女侠
04-28 5755
1. DVWA (1)DVWA简介 DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 (2)DVWA的10个模块 DVWA共有10个模块,分别如下: Brute Force(暴力破解) ...
DVWA------XSS(全)
m0_65712192的博客
12-13 5267
DVWA-----XSS(全)
DVWA(五)】XXS存储型跨站攻击
未配妥剑 已入江湖
06-24 401
XSS存储型跨站攻击(Stored Cross Site Scripting) 前言: 相较于XSS反射型跨站攻击,存储型具有更严重的危害,如果在窃取信息的同时对网页没有任何变化,那受害者将很难发现。 如果我有写的不太明白的地方,可以先看看之前XSS反射型跨站攻击的随笔 low: 1.观察: 测试输入模式,有两个输入框,经测试,都有输入限制,这个限制用网页查看器很容易解决,我给改成了...
DVWA-XSS (Reflected)-反射型XSS
seanyang_的博客
06-12 3124
XSS攻击,是指攻击者在Web页面中输入恶意的JavaScript脚本,而Web应用程序没有对用户的输入进行过滤或处理就直接执行,将结果输出在网页中。如果恶意JavaScript脚本被存储到后端服务器中,用户打开该Web页面时,恶意脚本则可能在浏览器中自动执行。XSS攻击依赖于JavaScript脚本的执行。一般,攻击者插入恶意脚本后,需要将脚本执行结果显示出来,因此,XSS攻击常见于网站中有用户输入且能够显示的地方,如文章发表、评论回复、留言板等。
DVWA练习1-XSS
seeicb的博客
03-11 302
title: DVWA练习1-XSS date: 2015-12-02 23:28:56 categories: 安全 tags: [Web安全,XSS] 一、XSS 1.XSS简介 XSS即跨站脚本攻击,恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 XSS通常分为三类:反射型XSS 存储型XSS D...
DVWA-XSS 通关挑战
最新发布
weixin_71090536的博客
08-27 222
此文章是XSS漏洞练习,靶场是 DVWA。XSS分为反射型、存储型和DOM型,由于DOM型并不常见,故在此演示前两种类型的通关过程。
结合DVWA的反射型XSS浅析
qq_43660551的博客
01-08 2724
一.概念 XSS:跨站脚本攻击。黑客通过HTML注入篡改了网页,在网页中插入恶意脚本。 二.分类 1.反射型XSS:简单地把用户输入的数据反射给浏览器。 2.存储型XSS:将用户输入的数据存储在服务器端。 3.DOM型XSS:通过修改页面的DOM节点形成XSS。 三.DVWA-XSS实践 1.低级 看下源码,这里无任何过滤。直接将用户的输入反射给浏览器。 故直接构造payload语句:<script>alert(/This is XSS!/)</s...
XSS原理&dvwa&xssvalidator使用
热门推荐
qq_33163046的博客
08-07 1万+
渗透COP之XSS原理&测试案例 1.什么是XSS 跨站脚本(Cross Site Scripting,XSS)是一种经常出现在web应用程序中的计算机安全漏洞。攻击者利用网站漏洞把恶意的代码注入到网页之中。当其他用户浏览到这些网页后,就会执行其中的恶意代码,对受害用户可能采取cookie资料截取、会话劫持、钓鱼欺骗等各种攻击。 Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,C.
XSS跨站脚本攻击(DVWA XSS攻击详解、XSS平台搭建)
tmzy1的博客
03-20 2077
XSS攻击、XSS平台搭建
DVWA之XSS (完整版)
一期一会的博客
03-30 5285
xss DOM型xss
使用dvwa环境进行csrf漏洞练习;ssrf漏洞;xss漏洞与csrf漏洞的区别
m0_52341820的博客
04-14 5335
csrf漏洞的原理是?如何防御和利用csrf漏洞。 当我们打开或登录某个网站后,浏览器与网站所存放的服务器将会产生一个会话,在会话结束前,用户就可以利用具有的网站权限对网站进行操作(如:发表文章、发送邮件、删除文章等)。会话借宿后,在进行权限操作,网站就会告知会话超期或重新登录。当登录网站后,浏览器就会和可信的站点建立一个经过认证的会话。所有通过这个经过认证的会话发送请求,都被认定为可信的行为,例如转账、汇款等操作。当这个会话认证的时间过长或者自主结束断开;必须重新建立经过认证的可信安全的会话。CSRF攻
dvwa-master zip
07-28
dvwa-master zip是一个开源的漏洞脆弱性应用程序,用于进行网络安全测试和漏洞扫描。 具体而言,dvwa-master zip是一个基于PHP和MySQL开发的靶场平台,旨在帮助用户了解和学习网络安全漏洞。它模拟了多种常见的Web...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值