DVWA-XSS(跨站脚本攻击)

最新推荐文章于 2024-08-11 22:35:19 发布
最新推荐文章于 2024-08-11 22:35:19 发布
阅读量1.4k 收藏 6
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50341025/article/details/115715752
版权
本文详细介绍了DVWA中的跨站脚本攻击(XSS)类型,包括反射型、存储型和DOM型XSS,并通过不同安全级别的设置,演示了如何绕过DVWA的防御机制,展示了XSS攻击的各种应用场景和技术手段。
摘要由CSDN通过智能技术生成

DVWA-XSS
XSS概念:由于web应用程序对用户的输入过滤不严,通过html注入篡改网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。
XSS类型:
反射型XSS:只是简单地把用户输入的数据反射给浏览器,简单来说,黑客往往需要去诱使用户点击一个恶意链接,才能攻击成功。
存储型XSS:将用户输入的数据存储在服务器端,每次用户访问都会被执行js脚本。
DOM型XSS:文本对象模式xss,通过修改页面的DOM节点形成的XSS,可存储型、可反射型,只取决于输出地点。

XSS的应用场景:
1.利用xss获得cookie 2.重定向 3.钓鱼网站 4.DDOS

-----------------实验讲解-----------------

反射型XSS:

(一)将DVWA的级别设置为low
1.1查看源代码,可以看到没有对参数做任何防御处理措施,直接输出
在这里插入图片描述

1.2尝试一般的XSS攻击

<script>alert('xss')</script>
在这里插入图片描述

<body onload=alert('xss2')>
在这里插入图片描述

<a href='' onclick=alert('xss3')>click1</a> #点击click1时弹出xss3
在这里插入图片描述

<img src=http://192.168.10.128/a.jpg onerror=alert('xss4')> #src地址错误,然后执行onerror的内容
在这里插入图片描述

<sc

最低0.47元/天 解锁文章
-solo
关注
dvwa中的XSS攻击(反射)
qq_45653152的博客
06-13 1886
三种xss: 反射:需攻击者提前构造一个恶意链接,诱使用户点击(经后端,不经数据库) 存储:攻击者在论坛的楼层包含一段恶意代码,并且服务器未进行正确的过滤输出,造成浏览该页面的用户执行这段代码(经过后端与数据库) DOM:利用非法输入来闭合对应的HTML标签(不经过后端,是基于文档对象模型的一种漏洞,是通过url传入参数去控制触发的) Xss(refiected反射型) Low等级: 代码显示X-XSS-Protection:0(0: 表示关闭浏览器的XSS防护机制)即未实施任何防御措施,且对name没有任
DVWAXSS跨站脚本攻击
sunshine1_0的博客
04-17 673
XSS跨站脚本攻击
渗透测试(第二章跨站脚本攻击实战)
最新发布
kun12343的博客
08-11 1195
大家好,上次我们介绍了跨站脚本攻击的一些基础知识,今天我们在靶场实战一下,来巩固我们学习的内容。
DVWA靶场系列(六)—— XSS跨站脚本攻击
qq_45612828的博客
08-02 2688
DVWA靶场系列(六)—— XSS跨站脚本攻击
DVWA学习之XSS跨站脚本攻击)(超级详细)
热门推荐
weixin_40950781的博客
08-22 1万+
DVWA学习之XSSXSS 跨站脚本攻击0x01 XSS(Cross Site Script)简介0x02 何为XSS0x03 XSS存在的原因0x04 XSS漏洞的危害0x05 XSS 的分类及特点1. 存储型XSS2. 反射型XSS3. MOD型XSS XSS 跨站脚本攻击 0x01 XSS(Cross Site Script)简介 0x02 何为XSS 跨站脚本攻击XSS(Cross Sit...
DVWA跨站脚本攻击xss
qq_54537919的博客
06-27 882
DVWA跨站脚本攻击xss) 原理、分类:反射型、存储型、DOM型的low、medium、high
dvwa中的xss(跨站脚本)攻击
无痕的博客
01-17 2288
xss攻击介绍与在dvwa中的xss攻击演示
DVWA测试XSS跨站脚本攻击三种类型
WINDY_PACE的博客
05-04 1792
测试XSS三种类型危害最大的存储型如何无声息钓鱼获取到用户信息
Kali Linux-网络安全之-XSS 跨站脚本攻击原理及 DVWA 靶机的搭建
xueshenlaila的博客
12-31 1388
XSS 跨站脚本攻击 使用 JavaScript 创建 Cookie JavaScript 可以使用 document.cookie 属性来创建 、读叏、及删除 cookie。 例 1:JavaScript 中,创建 cookie 如下所示: document.cookie=“username=John Doe”; 例 2:你还可以为 cookie 添加一个过期时间(以 UTC 戒 GMT 时间)。默认情况下,cookie 在 浏览器关闭时删除: document.cookie=“username=John
Kali Linux-网络安全之-XSS 跨站脚本攻击原理及 DVWA 靶机的搭建_kali实验xss攻击(1)
2401_83947434的博客
04-17 701
root@xuegod63 ~]# vim /var/www/html/dom.html #创建一个加载了 javascript 脚本。改:815 allow_url_include = Off。为: allow_url_include = On。
XSS跨站脚本攻击——在DVWA中的练习
D-R0s1的博客
02-10 3655
理论部分 简介         跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL...
DVWA-XSS (Stored)(存储型跨站脚本攻击
简简的博客
02-02 969
本系列文集:DVWA学习笔记 存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等。 ##Low: 相关函数介绍: trim(string,charlist) 函数移除字符串两侧的空白字符或其他预定义字符,预定义字符包括...
DVWAXSS跨站脚本攻击(反射型)
ximo的博客
01-26 463
DVWAXSS跨站脚本攻击(反射型) 这里写目录标题DVWAXSS跨站脚本攻击(反射型)环境及原理低等级一、弹窗插入恶意代码返回被插入恶意代码的页面发送url给被攻击者,被攻击者打开页面,并触发XSS二、重定向三、获取cookie中等级高等级 环境及原理 环境: kali linux 、dvwa 、 攻击机(win10)、 被攻击机(win7) 原理 1.弹窗 2.重定向 3.获取cookie 低等级 一、弹窗 js恶意代码: # 直接嵌入 <script>alert('xss')&lt
XSS攻击-DVWA
天威一号
11-21 210
1、 解析:在标签之间,有存在对字符的过滤; <pre>Hello '&quot;&lt;&gt;script</pre>
DVWAXSS跨站脚本攻击(DOM型)
ximo的博客
01-27 654
DVWAXSS跨站脚本攻击(DOM型) DOM ——文本对象类型,通过修改js标签触发xss(个人理解) 目录DVWAXSS跨站脚本攻击(DOM型)低等级1.弹窗2.重定向3.获取cookie中等级高等级 低等级 1.弹窗 插入恶意代码: 直接嵌入: 成功触发: 查看前端代码,发现js代码被插入到 value 值中: 另一种方式 js代码: </option></select><img src='' onerror=alert('xss')> 使用 < /o
XSS跨站脚本攻击DVWA XSS攻击详解、XSS平台搭建)
tmzy1的博客
03-20 2130
XSS攻击、XSS平台搭建
DVWA靶场-XSS跨站脚本攻击
zeroone的博客
03-12 1533
第十关:XSS跨站脚本攻击)       XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行。 反射型XSS Low <?php header ("X-XSS-Protection: 0"); // Is there any input? if( array_key_exists( "name", $_GET
DVWA-XSS(DOM)
08-25
DVWA-XSS(DOM)是指DVWA靶机学习中的一种XSS攻击,它利用了DOM(文档对象模型)中的漏洞。DOM是一个与平台、编程语言无关的接口,允许程序或脚本动态地访问和更新文档内容、结构和样式。而DVWA-XSS(DOM)攻击则是通过在DOM中注入恶意脚本来篡改网页,从而控制用户浏览器的一种攻击行为。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [houkc.github.io:HouKC的博客](https://download.csdn.net/download/weixin_42157567/18459500)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [DVWA-XSS(DOM)](https://blog.csdn.net/weixin_44866139/article/details/104101228)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值