DVWA靶场通关之DOM型XSS

最新推荐文章于 2023-08-27 19:36:24 发布
最新推荐文章于 2023-08-27 19:36:24 发布
阅读量346 收藏 2
点赞数 1
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunxueer/article/details/117716451
版权

XSS DOM型

以下ip均为dwva靶场的ip地址,这里我搭建在虚拟机win2008中

低级

查看源码:
在这里插入图片描述

  • default=<script>alert('xss')</script>
    在这里插入图片描述按F12查看代码
    在这里插入图片描述

中级

查看源码

  • 发现过滤了<script>标签

在这里插入图片描述

  • stripos函数,在default中查找是否有<script,不区分大小写
方法1 利用input标签的自动聚焦

  • default = "><input onfocus = alert('xss') autofocus/>

  • 第一个双引号结束value,>闭合option标签,再加上input在这里插入图片描述在这里插入图片描述

方法2 利用img标签的onerror事件

  • default=</option></select><img src =1 onerror=alert('xss')>

  • 首先闭合option标签,在闭合select标签,在利用img标签的onerror事件
    在这里插入图片描述在这里插入图片描述

高级

查看源码:
在这里插入图片描述
发现它采用了白名单的方式来防止注入

  • English#<script>alert('xss')</script>

这里利用#绕过服务器端的业务操作

(注意#这个方法仅适用于DOM型xss注入)
在这里插入图片描述在这里插入图片描述

SXE
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
DVWA靶场练习十—XSS (DOM)
afei001
06-30 372
一、低级(Low Level) 尝试直接在URL中注入: <script>alert(document.cookie)</script> 成功返回Cookie。      源码分析: <?php # No protections, anything goes ?> 分析:     可以看到,该源码中没有任何内容,没有做任何xss防护。容易造成xss DOM攻击。   二、中级(Medium Level) 首先查看源码: <?php // Is the.
DVWA靶场xss通关笔记,详解带截图
AboutLzs的博客
03-21 1425
DVWA靶场Xss通关笔记
DVWA靶场XSSDOM/Reflected/Stored)/XSS+CSRF
m0_51150495的博客
06-15 2034
xss(dom/reflected/stored) xss+csrf
DVWA靶场通关XSS
m0_56010012的博客
03-22 9152
XSS漏洞 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets,缩写:CSS)混淆,所以架构跨站脚本攻击缩写为XSSXSS就是攻击者在web页面插入恶意的Script代码,当用户浏览该页面时,嵌入其中的js代码会被执行,从而达到恶意攻击的目的。某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚
DVWA靶场XSS通关详解
qq_62169455的博客
06-27 1360
里面的任意字母改为大写即可),此处也可以通过双写(即写两个嵌套的script)来绕过,即在输入框里面输入代码: alert("GXY")
DVWA靶场通关实战
qaq517384的博客
11-28 2314
Brute Force Command Injection CSRF File Inclusion File Upload Insecure CAPTCHA SQL Injection SQL Injection Weak Session IDs XSS (DOM) XSS(Reflected) XSS(Stored) CSP Bypass JavaScript
DVWA通关攻略(适合新手)
夜思红尘的博客
04-12 9106
这里是关于网络安全入门的靶场DVWA,适合新手
DVWA全套学习打靶通关教程
weixin_56910965的博客
06-29 2406
Dvwa暴力破解 命令注入
DVWA下的XSS漏洞通关练习
weixin_48609562的博客
06-15 653
XSS 介绍 XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据恶意代码是否存储在服务器中,XSS可以分为存储XSS与反射XSSDOMXSS由于其特殊性,常常被分为第三种,这是一种基于DOM树的XSS。例如服务器端经常使用document.boby.innerHtml
一、详解 DVWA_DOMXSS
在下小黄的博客
05-22 1638
第一篇,DVWA_DOMXSS详解
封神台DOM XSS靶场
qq_40941912的博客
10-05 987
作业 DOM XSS靶场 (Rank: 10) 在页面上可填写的地方都输入 Native编码: \u003c\u0073\u0063\u0072\u0069\u0070\u0074\u003e\u0061\u006c\u0065\u0072\u0074\u0028\u0031\u0032\u0033\u0029\u003c\u002f\u0073\u0063\u0072\u0069\u0070\u0074\u003e 插入到url中,发现弹窗了: 此处的payload被当作代码执行了 把xss平台
[zkaq靶场]XSS--DOMXSS
wwxxee
05-09 496
DOMxss 知识点 DOM(document object model)文档对象模 一个网页是由dom树构建而成,而js可以修改页面元素,也就是可以修改dom树中的节点。客户端可以通过js动态修改页面内容从而进行xss攻击。 domxss常见函数: document.write():写入网页内容(可以接受native编码) innerHTML:修改节点内容 eval:将字符串当作代码执行 靶场 首页:是一个聊天室 查看页面代码发现此处使用了document.write()。 而页面的url跟文本
DVWA靶场中的XSS DOM
m0_46315342的博客
07-10 815
在做XSS DOM的时候,总是很不理解为什么网上的一些笔记博客要先闭合和标签,找了很久之后终于找到了一篇博客,说的还挺好的。 这里给一下博客地址:XSS DOM DVWA靶场中,low级别很容易,直接插入就好了。 medium级别的时候,无论怎么插入都是不会成功的。 这是因为后端代码把script这个标签进行了处理,stripos这个函数是用来检测default输入里面有没有<script这个标签,如果有的话就直接跳转到default=English这个页面,所以就必须换成其他的标签,。img/b
DVWA-DOMXSS全等级绕过方法
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
12-30 3248
DOMXSS全等级绕过前言一、LOW级别二、Medium级别图片插入语句法三、High级别字符 # 绕过服务端过滤四、Impossible级别 前言     DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。DOMXSS其实是一种特殊类的反射XSS,它是基于DOM文档对象模的一种漏洞。在网站页面中有许多页面的元素,当页面到达浏览器时浏览器会为页面创建一个顶级的Do
DVWA靶场通关记录(存储XSS漏洞)
weixin_73557450的博客
05-29 186
而这些操作都是对message栏目实施的,name栏只是简单的替换了标签,但name栏有输入长度限制。和存储漏洞一样的是,这回我们仍然换标签,源代码中用正则表达式绕过了标签,我们可以换成或存储XSS漏洞与反射不同的是,存储持续时间会很长,即便刷新页面或者关闭页面,再次打开时XSS漏洞依然会发挥作用。刷新页面或者退出页面时,我们注入的XSS攻击仍然有效,这就是存储漏洞的特点。XSS存储漏洞就到这里了,欢迎反馈和交流。
DVWA-XSS 通关挑战
最新发布
weixin_71090536的博客
08-27 221
此文章是XSS漏洞练习,靶场DVWAXSS分为反射、存储DOM,由于DOM并不常见,故在此演示前两种类通关过程。
DVWA靶场-XSSDOM、反射、存储
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
06-09 1896
DOM XSS DOMXSS LOW DOM XSS 核心代码: Medium DOM XSS 核心代码: 绕过方法: High DOM XSS 核心代码: 绕过方式 Impossible DOM XSS 核心代码: Reflected XSS 反射XSS Low Reflected XSS 核心代码 Medium Reflected XSS 核心代码 绕过方法 High Reflected XSS 核心代码 Impossible Reflected XSS
DVWADOM XSS(DOM跨站脚本攻击)
热门推荐
谢公子的博客
10-03 2万+
目录 Low Medium High Impossible Low 源代码: &lt;?php # No protections, anything goes ?&gt; 从源代码可以看出,这里low级别的代码没有任何的保护性措施! 页面本意是叫我们选择默认的语言,但是对default参数没有进行任何的过滤 所以我们可以构造XSS代码,访问链接: http://127...
DVWA XSS (DOM) 通关教程
weixin_30703911的博客
08-20 1180
DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。 DOMXSS其实是一种特殊类的反射XSS,它是基于DOM文档对象模的一种漏洞。 在网站页面中有许多页面的元素,当页面到达浏览器时浏览器会为页面创建一个顶级的Document object文档对象,接着生成各个子文档对象,每个页面元...
DVWA靶场深度解析:XSS攻击DOM、反射、存储实战
"该资源提供的是DVWA(Damn Vulnerable Web Application)靶场中的XSS漏洞实践,包括DOM、反射和存储三种类XSS攻击。适合网络安全学习者进行练习和理解XSS攻击的原理与防范方法。" 在Web安全领域,XSS...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值