Medium 级别存储型 XSS 攻击演示(附链接)

环境准备

DVWA 靶场https://eclecticism.blog.csdn.net/article/details/135834194?spm=1001.2014.3001.5502

测试

打开页面

输入正常值观察

一样的,用户名做了长度限制

更改后输入 HTML 标签语句测试

一样没有做过滤,接下来试试 JS 恶意代码

发现只剩下了 alert(/xss/),过滤掉了 <script> 关键字

再输入 <script> 测试

发现咱们的猜测没错,可以试试双写或者大小写混淆

攻击

关键字采用大小写混淆

攻击成功

双写被过滤的标签

攻击成功

相关推荐
搭贝1 小时前
低代码平台构建EHS环境健康安全管理系统:从隐患排查到合规审计的全流程实操指南
安全·低代码
碎_浪2 小时前
给键盘党的英语记忆工具:我做了一款「打字背单词」桌面应用
前端·程序员·ai编程
阿成学长_Cain3 小时前
Linux dirs命令详解|Bash目录堆栈管理快速切换目录实战教程
linux·运维·前端·数据库
yqcoder3 小时前
httpOnly 是什么,又有什么用?
开发语言·前端·javascript
IT_陈寒3 小时前
Java的Stream.parallel()把我CPU跑爆了,这种优化要谨慎
前端·人工智能·后端
小皮虾4 小时前
小程序首页性能优化实战:从 4 秒到 1.8 秒
前端·微信小程序
山河木马4 小时前
GPU自动处理专题1-裁剪到底在裁什么(裁剪)
前端·webgl·计算机图形学
奔跑的蜗牛ing4 小时前
CentOS Nginx 安装与静态文件服务器配置指南
前端·面试·架构
子兮曰4 小时前
Bun 重写为 Rust:11天、64个Claude、16.5万美元,一次改变行业认知的激进实验
前端·后端·bun