Medium 级别存储型 XSS 攻击演示(附链接)

香甜可口草莓蛋糕2024-04-03 10:59

环境准备

DVWA 靶场https://eclecticism.blog.csdn.net/article/details/135834194?spm=1001.2014.3001.5502

测试

打开页面

输入正常值观察

一样的,用户名做了长度限制

更改后输入 HTML 标签语句测试

一样没有做过滤,接下来试试 JS 恶意代码

发现只剩下了 alert(/xss/),过滤掉了 <script> 关键字

再输入 <script> 测试

发现咱们的猜测没错,可以试试双写或者大小写混淆

攻击

关键字采用大小写混淆

攻击成功

双写被过滤的标签

攻击成功

相关推荐
universe_018 分钟前
day27|前端框架学习
前端·笔记
沙尘暴炒饭10 分钟前
前端vue使用canvas封装图片标注功能,鼠标画矩形框,标注文字 包含下载标注之后的图片
前端·vue.js·计算机外设
百思可瑞教育30 分钟前
Vue中使用keep-alive实现页面前进刷新、后退缓存的完整方案
前端·javascript·vue.js·缓存·uni-app·北京百思可瑞教育
yinuo34 分钟前
Uni-App跨端实战:APP的WebView与H5通信全流程解析(03)
前端
yinuo38 分钟前
Uni-App跨端实战:支付宝小程序WebView与H5通信全流程解析(02)
前端
Codingwiz_Joy1 小时前
Day43 PHP(mysql不同注入类型、mysql不同注入点、mysql传输不同数据类型 )
网络安全·php·安全性测试
GISer_Jing2 小时前
sqb&ks二面(准备)
前端·javascript·面试
谢尔登2 小时前
【Webpack】模块联邦
前端·webpack·node.js
Bottle4142 小时前
深入探究 React Fiber(译文)
前端
汤姆Tom2 小时前
JavaScript Proxy 对象详解与应用
前端·javascript
热门推荐
01KGG转MP3工具|非KGM文件|解密音频02GitHub 镜像站点03conda中设置镜像地址(附所有可换的地址)04UV安装并设置国内源05A股预测还能更准?开源大模型Kronos带你跑通预测+回测全流程0646个Nano-banana 精选提示词,持续更新中07UV 工具安装与国内镜像源配置指南08突破百度网盘的下载限速,两种方法教会你【超详细】09SQLmap 完整使用指南:环境搭建 + 命令详解 + 实操案例10教你如何认证 Gemini 教育优惠的二次验证,薅个 1年的 Gemini Pro 会员