DVWA-存储型XSS漏洞

最新推荐文章于 2024-06-25 10:08:51 发布
最新推荐文章于 2024-06-25 10:08:51 发布
阅读量991 收藏 8
点赞数 1
分类专栏: WEB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44113400/article/details/104995448
版权

(一)将DVWA的级别设置为low
1.分析源码,可以看到首先对两个参数使用trim函数过滤掉两边的空格,然后message:mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符, stripslashes函数过滤掉”\”;
对name参数中使用mysql_real_escape_string函数转义SQL语句中的特殊字符,trim函数去除字符串的头尾空格:
在这里插入图片描述
2.不防御XSS漏洞,只防御了SQL注入漏洞
尝试一般的XSS攻击
在message栏中测试:
<script>alert('07')</script>
在这里插入图片描述
<body onload=alert('007')>
<a href=http://www.baidu.com>click</a>
在这里插入图片描述
<a href='' onclick=alert('xss')>click</a></

最低0.47元/天 解锁文章
喝可樂嗎
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DVWA-master.zip
01-04
DVWA中的XSS练习涵盖了反射存储两种类,让你了解如何防范这种攻击,比如使用输入验证、转义特殊字符以及设置HTTP-only cookie等。 4. **命令注入** 在DVWA中,命令注入漏洞允许攻击者执行服务器上的任意...
XSS漏洞:利用多次提交技巧实现存储XSS攻击
qq_68163788的博客
01-21 2317
存储XSS(Cross-Site Scripting)是一种Web应用程序安全漏洞,攻击者通过在受害者的浏览器上执行恶意脚本,从而获取用户的敏感信息。存储XSS攻击的主要原理是将恶意脚本存储在服务器端,然后当用户访问包含该恶意脚本的页面时,恶意脚本会被执行。 攻击者通常会在受害者能够输入内容的地方(例如论坛、博客评论、搜索框等)注入恶意脚本。当其他用户访问包含恶意脚本的页面时,他们的浏览器会执行这些脚本,从而导致攻击者能够窃取用户的会话令牌、cookie或其他敏感信息。
漏洞挖掘 | 某平台存储XSS
2301_80127209的博客
03-22 295
一、信息收集从来就没有弱口令成功登陆过网站,就想着找找看有没有暴露初始密码的学校网站谷歌语法搜索找到一个暴露默认密码的学校网站进入该学校的教材征订系统,需要用学号登录然后在贴吧等社交平台收集学生学号信息,这里找到了一个15年的帖子暴露了许多学号的帖子。
XSS 安全漏洞介绍及修复方案
最新发布
墨鸦的博客
06-25 6345
XSS 安全漏洞介绍及修复方案
DVWA靶场存储XSS漏洞实验
weixin_44851588的博客
05-26 4637
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 来自菜鸟的一次简单分享,本次实验主要结合后台源代码讲解,梳理存储XSS实验的思路,如果存在问题,请各位大佬多多指导。 一、XSS基础 1.什么是XSSXSS(Cross-site scripting)被称为跨站脚本攻击,由于与层叠样式表的缩写一样,因此被缩写为XSS。 2.XSS漏洞...
DVWA靶机-存储XSS漏洞(Stored)
weixin_43726831的博客
11-25 4645
DVWA靶机-存储XSS漏洞(Stored) 前章: DVWA靶机-暴力破解(Brute Force) && DVWA靶机的四个安全等级 DVWA靶机-命令注入漏洞(Command Injection) DVWA靶机-文件包含漏洞(File Inclusion) DVWA靶机-文件上传漏洞(File uploads) DVWA靶机-跨站请求伪造(CSRF) DVWA靶机-存储X...
DVWA靶场XSS反射性和存储漏洞测试(low~high)
weixin_51585429的博客
11-07 2106
DVWA靶场XSS反射存储漏洞模块low~high等级
DVWA教程(一) —— Low级别
weixin_47610939的博客
04-29 1972
本篇文章为各位正在学习DVWA提供解题思路,同时也是本人的学习笔记,本文中的方法仅为验证漏洞,并无攻击目的。DVWA安装,可以使用docker容器,非常简单方便,通过以下链接: Docker Hubhttps://hub.docker.com/r/sagikazarmark/dvwa 0x01. 暴力破解 0x02. 代码注入 先看题目,是一个ping命令 <?php if( isset( $_POST[ 'Submit' ] ) ) { // Get in...
DVWA--存储XSS(初中高)
firecjh的博客
06-09 532
选择“View Source”查看源程序,发现服务器端对message框内容使用了htmlspecialchars() 函数进行转义,对name框使用str_replace()函数进行替换。选择“View Source”查看源程序,对message参数进行html转义外,还对name参数使用preg_replace()函数进行替换,不能使用常用的绕过方法。2)在界面出现弹框,弹框内容为本人姓名拼音。2)在界面出现弹框,弹框内容为本人姓名拼音。3) 刷新页面,查看是否再次出现弹框,比较与反射XSS的区别。
【无标题】DVWA靶场之xss漏洞
weixin_46954909的博客
05-17 867
alert(1)
DVWA之SQL注入(低级)
heyingcheng的博客
11-17 2485
注意:我们在输入框输入id=1' order by 1#,通过改造sql语句修改了应用程序逻辑,执行的sql语句实际上数据库中执行的是:select * from 表 where id='1' order by 1 #'。由于#已经注释掉了后面所有的内容,所以实际上的效果:select * from 表 where id='1' order by 1(#也可以换成--)继续输入1’and'1'='1或者1'='1发现可以正常回显,所以目前可以十分准确的判断存在的是sql注入中的字符注入。
E069-web安全应用-存储XSS的场景实践.pdf
12-02
本资源讲解了存储XSS(Cross-Site Scripting)的攻击场景实践,通过DVWA(Damn Vulnerable Web Application)平台来演示整个攻击过程。 知识点1:存储XSS的定义和原理 存储XSS是一种类的跨站脚本攻击,...
DVWA-master安装包
02-28
2. **跨站脚本(XSS)**:分为反射存储两种,XSS允许攻击者通过注入可执行的JavaScript代码来窃取用户cookie或其他敏感信息。 3. **跨站请求伪造(CSRF)**:攻击者诱导用户执行非预期的操作,比如更改密码或...
XSS漏洞详解
热门推荐
xcxhzjl的博客
11-18 2万+
一、XSS漏洞原理 XSS,即跨站脚本攻击,是指攻击者利用Web服务器中的应用程序或代码漏洞,在页面中嵌入客户端脚本(通常是一段由JavaScript编写的恶意代码,少数情况下还有ActionScript、VBScript等语言),当信任此Web服务器的用户访问Web站点中含有恶意脚本代码的页面或打开收到的URL链接时,用户浏览器会自动加载并执行该恶意代码,从而达到攻击的目的。 当应用程序没有对用户提交的内容进行验证和重新编码,而是直接呈现给网站的访问者时,就可能会触发XSS攻击。 二、XSS漏洞的危
存储XSS(Stored)DVWA全等级绕过方法
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
12-01 3664
dvwa_存储XSS全等级演示一、low级别绕过前端限制,修改输入长度二、Medium级别三、High级别四、dvwa_impossible分析 一、low级别 打开dvwa靶场,将等级设置为low,选中XSS(Stored) 这里有一个很明显的特征就是表单,遇到这种情况最好每个表单都输入内容,即XSS测试语句 先查看源码(View Source): <?php if( isset( $_POST[ 'btnSign' ] ) ) { // Get input $message =
通过DVWA学习DOMXSS
Mi1k7ea
01-02 4028
下了个新版的DVWA看了下,发现新增了好几个Web漏洞,就玩一下顺便做下笔记,完善一下之前那篇很水的DOM XSS文章,虽然这个也很水 :) 基本概念 DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。 DOMXSS其实是一种特殊类的反射XSS,它是基于DOM文档对象模的一种漏洞,其触...
DVWA 之 XSS(stored)存储XSS
RexHa的博客
10-08 2005
dvwa 存储XSS
DVWA系列之XSS(跨站脚本攻击)——存储XSS源码分析及漏洞利用
7Riven's blog
11-27 1314
存储XSS 存储XSS持久化,代码是存储在服芻器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户每次访问该页面的时候都会触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃 cookie 1、hack插入恶意js 2、服务器返回含有恶意js页面 3、由于恶意js会一直存储在服务器端,所以每个目标点击含有恶意js页面都会跳转到第三方...
Dvwa之存储XSS攻击全级别学习笔记
Mbys_Lettuce的博客
09-19 1970
和好像被过滤掉了,会不会像反射一样,只是过滤了,只要复写或者大小写可以攻击了呢?把写入内容修改成alert(document.cookie)或者alert(document.cookie)
DVWA-XSS(DOM)
08-25
DVWA-XSS(DOM)是指DVWA靶机学习中的一种XSS攻击,它利用了DOM(文档对象模)中的漏洞。DOM是一个与平台、编程语言无关的接口,允许程序或脚本动态地访问和更新文档内容、结构和样式。而DVWA-XSS(DOM)攻击则是通过在DOM中注入恶意脚本来篡改网页,从而控制用户浏览器的一种攻击行为。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [houkc.github.io:HouKC的博客](https://download.csdn.net/download/weixin_42157567/18459500)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [DVWA-XSS(DOM)](https://blog.csdn.net/weixin_44866139/article/details/104101228)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值