一.XSS—标签内
1.反射型XSS
攻击者将恶意的JS语句提交到服务器,服务器程序将JS语句直接输出到页面
中,导致再浏览器端触发。
Payload:<script>alert(1)script>
在虚拟机搭建DVWA,在本地访问虚拟机的地址,进入DVWA的目录,设置安全等级为low,即可开始测试
如图,出现弹窗并在url中能看到XSS语句,说明存在反射型XSS。
查看元素,可以看到语句在script标签中插入了alert(1)。
1.反射型XSS的JS代码在URL中,并且反射型XSS只能触发一次。