代码审计——DVWA DOM Based Cross Site Scripting (XSS) DOM型XSS

最新推荐文章于 2024-06-19 01:26:59 发布
最新推荐文章于 2024-06-19 01:26:59 发布
阅读量1.1k 收藏 2
点赞数 2
分类专栏: 代码审计 文章标签: php 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z1756227332/article/details/104834975
版权
本文详细分析了DVWA中DOM Based Cross Site Scripting (XSS)的Low、Medium、High和Impossible四个等级的代码实现和绕过策略。在Low等级,通过URL解码直接触发XSS;Medium等级利用 摘要由CSDN通过智能技术生成

关于三种XSS类型的流程
DOM型
代码 -> 浏览器(js)

反射性型
代码 -> 浏览器 ->php -> 浏览器

存储性型
代码->浏览器->PHP->数据库->php->浏览器

Low等级代码

<?php
这个意思就是没有过滤 输入什么就会输出什么。
# No protections, anything goes
没有保护,什么都没有
?>
index.php代码
<?php

define( 'DVWA_WEB_PAGE_TO_ROOT', '../../' );
require_once DVWA_WEB_PAGE_TO_ROOT . 'dvwa/includes/dvwaPage.inc.php';

dvwaPageStartup( array( 'authenticated', 'phpids' ) );

$page = dvwaPageNewGrab();
$page[ 'title' ]   = 'Vulnerability: DOM Based Cross Site Scripting (XSS)' . $page[ 'title_separator' ].$page[ 'title' ];
$page[ 'page_id' ] = 'xss_d';
$page[ 'help_button' ]   = 'xss_d';
$page[ 'source_button' ] = 'xss_d';

dvwaDatabaseConnect();

$vulnerabilityFile = '';
switch( $_COOKIE[ 'security' ] ) {
   
	case 'low':
		$vulnerabilityFile =
最低0.47元/天 解锁文章
霓虹灯啊
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
基于DVWA+KALI安全测试工具平台演示XSS注入的案例
t13237652134的博客
10-22 2880
document.write('<p>张三</p>');(2)<ScRiPt>AlErt('XSS')</ScRiPt> //过滤了大小。(1)<script>alert('XSS')</script> //简单弹框。(1)<script>alert('XSS')
DVWA靶场通关(XSS
m0_56010012的博客
03-22 9128
XSS漏洞 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets,缩写:CSS)混淆,所以架构跨站脚本攻击缩写为XSSXSS就是攻击者在web页面插入恶意的Script代码,当用户浏览该页面时,嵌入其中的js代码会被执行,从而达到恶意攻击的目的。某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚
DOM Based Cross Site Scripting (XSS)
angry_program的博客
02-09 2796
前言 DOM(document object model文档对象模),客户端脚本处理逻辑导致的安全问题。基于DOMXSS漏洞是指受害者端的网页脚本在修改本地页面DOM环境时未进行合理的处置,而使得攻击脚本被执行。在整个攻击过程中,服务器响应的页面并没有发生变化,引起客户端脚本执行结果差异的原因是对本地DOM的恶意篡改利用。DOMXSS由于其特殊性,常常被分为第三种,这是一种基于DOM树的...
Web安全基础学习:XSS跨站脚本漏洞之DOMXSS
最新发布
qq_51862722的博客
06-19 1308
DOMXSS漏洞:非持久XSS,且不与后台服务器产生数据交互,而是通过JS修改网页的DOM来执行恶意脚本进行攻击。注意,DOMXSS与反射和存储最大的区别在于,DOMXSS不经过服务端,全部的攻击过程都在客户端完成。
Cross-site Scripting (XSS)
kezhen的专栏
03-26 4891
Overview Cross-Site Scripting (XSS) attacks are a type of injection problem, in which malicious scripts are injected into the otherwise benign and trusted web sites. XSS attacks occur when an attacke
DVWA-XSS(DOM)
weixin_44866139的博客
01-29 2761
XSS 简介 参考链接 XSS(Cross Site Script),全称跨站脚本攻击,为了与 CSS(Cascading Style Sheet) 有所区别,所以在安全领域称为 XSSXSS 攻击,通常指黑客通过 HTML 注入 篡改网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击行为。 DOMbased XSS漏洞的产生 DOMbased XSS漏洞是基于文档对象模...
DVWA关卡10:DOM Based Cross Site Scripting (XSS)(DOMXSS
m0_54899775的博客
12-08 1216
DVWA关卡10:DOM Based Cross Site Scripting (XSS)(DOMXSS
网络安全原理与应用:反射XSS攻击演示.pptx
05-16
反射XSS(Cross-site scripting)攻击是一种常见的Web应用程序安全问题,主要利用用户输入的数据未经充分验证或过滤,直接在浏览器中执行,从而对用户的浏览器发起攻击。这种攻击模式的关键在于,恶意脚本不会被...
DVWA下的XSS
07-25
XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的网络安全攻击方式,通过在合法网页中注入恶意脚本,当用户浏览这些网页时,恶意脚本会在用户的浏览器中执行,从而实现攻击目的。XSS攻击通常分为两种类: ...
第一节 XSS跨站脚本分类-01
09-15
XSS 跨站脚本攻击(Cross Site Scripting)是一种常见的 Web 应用程序安全漏洞。攻击者可以通过在 Web 页面中插入恶意 Script 代码来攻击用户。XSS 攻击的原理是,当用户浏览包含恶意 Script 代码的 Web 页面时,该 ...
跨站攻击(XSS+CSRF).docx
01-05
XSS(Cross Site Scripting)攻击是指攻击者通过在网页中插入恶意脚本,使得用户在不知情的情况下执行这些脚本,从而达到窃取用户信息、操纵用户行为等目的。XSS攻击主要分为三种类: 1. 反射XSS:这类攻击通常...
第三节 XSS篡改网页链接-01
09-15
XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的 web 应用程序安全漏洞,攻击者可以通过 inject 恶意脚本来篡改网页链接,达到攻击用户的目的。本文将对 XSS 篡改网页链接进行详细讲解,包括 JS 代码讲解、...
DVWA-DOM Based Cross Site Scripting (XSS)
Cwillchris的博客
10-28 907
实验环境: DVWA靶机:172.16.12.10 靶场用户名:admin 密码:123 windos攻击机:172.16.12.7 kali攻击机:172.16.12.30 实验步骤: DOMbased XSS漏洞是基于文档对象模Document Objeet Model,DOM)的一种漏洞。DOM是一个与平台、编程语言无关的接口,它允许程序或脚本动态地访问和更新文档内容、结构和样式,处理后的结果能够成为显示页面的一部分。DOM中有很多对象,其中一些是用户可以操纵的,如uRI,locatio
漏洞挖掘之XSS
Anakin6174的博客
03-01 5655
XSS介绍 XSS即跨站脚本攻击,是OWASP TOP10之一。它的全称为Cross-site scripting,之所以缩写为XSS是因为CSS这个简称已经被占用了。 XSS攻击的原理为,浏览器将用户输入的恶意内容当做脚本去执行,从而导致了恶意功能的执行,这种针对用户浏览器的攻击即跨站脚本攻击。它的攻击方式可以分为三种类:反射、存储DOM。 1 反射 当应用程序将收到的用户输入,直接作为HTML输出的一部分时,并且未经验证或转义,攻击者就可以输入一些JavaScript脚本,使得受害者的浏览器
[网络安全]DVWAXSS(DOM)攻击姿势及解题详析合集
热门推荐
等风来
05-16 1万+
源代码未进行任何过滤复选框中的内容为可变参数:这段 PHP 代码主要是用于处理 GET 请求中的 default 参数,它包含了以下几个功能: 1.判断是否有 default 参数:通过 array_key_exists() 函数来判断 $_GET 超级全局变量中是否存在名为 default 的键,如果存在并且不为 null,则将其赋值给 $default 变量。 2.防止 XSS 攻击:使用 stripos() 函数查找 $default 中是否包含
DVWAXSSDOM
RexHa的博客
10-06 2047
dvwa XSSDOM
DVWA XSS DOM
m0_56107268的博客
04-30 1024
DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。 DOMXSS其实是一种特殊类的反射XSS,它是基于DOM文档对象模的一种漏洞。 在网站页面中有许多页面的元素,当页面到达浏览器时浏览器会为页面创建一个顶级的Document object文档对象,接着生成各个子文档对象,每个页面元素对应一个文档对象,每个文档对象包含属性、方法和事件。可以通过JS脚本对文档对象进行编辑从而修改页面的元素。也就是说,..
DVWADOM Based Cross Site Scripting (XSS)
baynk的博客
10-29 1868
汇总链接: https://baynk.blog.csdn.net/article/details/100006641 ------------------------------------------------------------------分割线------------------------------------------------------------------ xss主...
DVWA靶场深度解析:XSS攻击DOM、反射、存储实战
在Web安全领域,XSS(Cross-Site Scripting)攻击是一种常见的安全漏洞,它允许攻击者向网页注入恶意脚本,进而影响用户浏览器的行为。DVWA靶场是一个专门设计用于安全教育和测试的平台,提供了各种安全漏洞的模拟场景...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值