DVWA的使用5–XSS(Reflected)(反射型跨站脚本)

DVWA的使用5–XSS(Reflected)(反射型跨站脚本)

xss 中文名是“跨站脚本攻击”,英文名“Cross Site Scripting”。
xss也是一种注入攻击,当web应用对用户输入过滤不严格,攻击者写入恶意的脚本代码(HTML、JavaScript)到网页中时,如果用户访问了含有恶意代码的页面,恶意脚本就会被浏览器解析执行导致用户被攻击。

1).low级别

源码:
这里写图片描述
直接通过$_GET方式获取name的值,之后未进行任何编码和过滤,导致用户输入一段js脚本会执行。
漏洞利用:
输入
这里写图片描述

2)medium级别

源码:
这里写图片描述
str_replace对输入的
就会进行过滤导致代码执行不成功.
漏洞利用:
多写入一个
输入:

3)high级别

源码:
这里写图片描述
preg_replace执行一个正则表达式的搜索和替换,这时候不论是大小写、双层

4)impossible级别

源码:
这里写图片描述
使用htmlspecialchars函数把预定义的字符&、”、 ’、<、>转换为 HTML 实体,防止浏览器将其作为HTML元素。

更多dvwa的使用及漏洞利用:https://blog.csdn.net/zjw0411/article/category/7542496

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值