Medium 级别存储型 XSS 攻击演示(附链接)

香甜可口草莓蛋糕2024-04-03 10:59

环境准备

DVWA 靶场https://eclecticism.blog.csdn.net/article/details/135834194?spm=1001.2014.3001.5502

测试

打开页面

输入正常值观察

一样的,用户名做了长度限制

更改后输入 HTML 标签语句测试

一样没有做过滤,接下来试试 JS 恶意代码

发现只剩下了 alert(/xss/),过滤掉了 <script> 关键字

再输入 <script> 测试

发现咱们的猜测没错,可以试试双写或者大小写混淆

攻击

关键字采用大小写混淆

攻击成功

双写被过滤的标签

攻击成功

相关推荐
tryqaaa_5 小时前
md5和sha1常见绕过【详细附新生赛题目】
web安全·php·web
Rsun045515 小时前
React相关面试题
前端·react.js·前端框架
鹏多多.5 小时前
Flutter使用screenshot进行截屏和截长图以及分享保存的全流程指南
android·前端·flutter·ios·前端框架
LawrenceLan5 小时前
37.Flutter 零基础入门(三十七):SnackBar 与提示信息 —— 页面反馈与用户交互必学
开发语言·前端·flutter·dart
APO Research5 小时前
工业连接件的隐形升级:杆端轴承正在从“标准件”走向“结构安全件”
大数据·安全·#工业零部件·#机械设计·#工业自动化·#杆端轴承·#机械结构件
迪巴拉15256 小时前
基于Vue与Spring Boot+Open Cv的智慧校园考勤系统
前端·vue.js·spring boot
swipe6 小时前
JavaScript 对象与属性描述符:从原理到实战
前端·javascript·面试
&活在当下&6 小时前
Vue3 h函数用法详解
前端·javascript·vue.js
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03本地部署 OpenClaw + DeepSeek-R1 完全指南04得物前端部门,没了05OpenClaw 飞书机器人不回复消息?3 小时踩坑总结06OpenClaw 连接飞书完整指南:插件安装、配置与踩坑记录07OpenClaw macOS 完整安装与本地模型配置教程(实战版)08Window 10部署openclaw报错node.exe : npm error code 12809OpenClaw 接入 QQ Bot 完整实践指南10OpenClaw-VSCode:在 VS Code 里玩转 OpenClaw,远程管理+SSH 双剑合璧