(一)将DVWA的级别设置为low
1.分析源码,可以看到首先对两个参数使用trim函数过滤掉两边的空格,然后message:mysql_real_escape_string()
函数转义 SQL 语句中使用的字符串中的特殊字符, stripslashes
函数过滤掉”\”;
对name参数中使用mysql_real_escape_string
函数转义SQL语句中的特殊字符,trim函数去除字符串的头尾空格:
2.不防御XSS漏洞,只防御了SQL注入漏洞
尝试一般的XSS攻击
在message栏中测试:
①<script>alert('07')</script>
②<body onload=alert('007')>
③ <a href=http://www.baidu.com>click</a>
④ <a href='' onclick=alert('xss')>click</a></
DVWA-存储型XSS漏洞
最新推荐文章于 2024-06-25 10:08:51 发布