Medium 级别存储型 XSS 攻击演示(附链接)

香甜可口草莓蛋糕2024-04-03 10:59

环境准备

DVWA 靶场https://eclecticism.blog.csdn.net/article/details/135834194?spm=1001.2014.3001.5502

测试

打开页面

输入正常值观察

一样的,用户名做了长度限制

更改后输入 HTML 标签语句测试

一样没有做过滤,接下来试试 JS 恶意代码

发现只剩下了 alert(/xss/),过滤掉了 <script> 关键字

再输入 <script> 测试

发现咱们的猜测没错,可以试试双写或者大小写混淆

攻击

关键字采用大小写混淆

攻击成功

双写被过滤的标签

攻击成功

相关推荐
m0_7190841116 分钟前
React笔记张天禹
前端·笔记·react.js
桌面运维家29 分钟前
vDisk安全启动策略怎么应用?防止恶意引导攻击
安全
Ziky学习记录30 分钟前
从零到实战:React Router 学习与总结
前端·学习·react.js
wuhen_n35 分钟前
JavaScript链表与双向链表实现:理解数组与链表的差异
前端·javascript
wuhen_n39 分钟前
JavaScript数据结构深度解析:栈、队列与树的实现与应用
前端·javascript
我是一只puppy1 小时前
使用AI进行代码审查
javascript·人工智能·git·安全·源代码管理
狗哥哥1 小时前
微前端路由设计方案 & 子应用管理保活
前端·架构
前端大卫2 小时前
Vue3 + Element-Plus 自定义虚拟表格滚动实现方案【附源码】
前端
却尘2 小时前
Next.js 请求最佳实践 - vercel 2026一月发布指南
前端·react.js·next.js
ccnocare2 小时前
浅浅看一下设计模式
前端
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03openclaw配置教程(linux+局域网ollama)04UV安装并设置国内源05AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南06Linux下V2Ray安装配置指南07openclaw使用nginx反代部署过程 与disconnected (1008): pairing required解决08在Trae中使用Pencil MCP09Claude Code Skills 实用使用手册10Vue-skills的中文文档