DVWA XSS

blackK_YC2023-09-03 3:05

反射型

low

查看源代码,没有任何过滤

构造

medium

这里是过滤了

high

这里把双写和大小写和JavaScript都过滤了,用事件来绕过<img src=0 οnerrοr=alert("xss")>

impossible

这里使用htmlspecialchars进行实体转换并且输出的结果还不能使用事件来绕过,不可能绕过

存储型

low

没有任何过滤,在留言写XSS语句

刷新触发XSS

medium

这里name过滤了,message用了htmlspecialchars,双写绕过

这里限制了输入数,前端修改

high

这里还是反射型的思路,<img src=0 οnerrοr=alert("xss")>

impossible

输入经过HTML编码,不能注入

相关推荐
weedsfly2 分钟前
迭代器、生成器与异步迭代——让数据“按需流动”的艺术
前端·javascript
xiaodaoluanzha7 分钟前
迄今為止,最簡單的編程語言 Nolang
前端·后端
Csvn8 分钟前
Fetch 请求竞态终结者:AbortController 不只是用来"取消"的
前端
阡陌Jony9 分钟前
关于前端路由中的参数问题的学习(一): params,query, hash(#)
前端
阡陌Jony11 分钟前
缓存相关学习笔记(一):Service Worker 缓存
前端
假如让我当三天老蒯13 分钟前
前端跨域解决方案(学习用)
前端·javascript·面试
阡陌Jony14 分钟前
关于前端路由中的参数问题的学习(二)
前端
IT_陈寒1 小时前
SpringBoot自动配置这个坑,我踩进去又爬出来了
前端·人工智能·后端
runnerdancer10 小时前
LLM是怎么处理messages数组的,提示词缓存又是什么
前端·agent
陈随易11 小时前
VSCode的Copilot扩展支持接入DeepSeek,Kimi了!
前端·后端·程序员
热门推荐
012026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?022026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04【AI】2026 年具身智能模型和世界模型总结05GitHub 镜像站点06AI科技热点日报 | 2026年6月1日072026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?08AI一周事件 · 2026-06-03 至 2026-06-0909Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析10上线仅72小时被强制下架:Claude Fable 5 的短命