Medium 级别存储型 XSS 攻击演示(附链接)

香甜可口草莓蛋糕2024-04-03 10:59

环境准备

DVWA 靶场https://eclecticism.blog.csdn.net/article/details/135834194?spm=1001.2014.3001.5502

测试

打开页面

输入正常值观察

一样的,用户名做了长度限制

更改后输入 HTML 标签语句测试

一样没有做过滤,接下来试试 JS 恶意代码

发现只剩下了 alert(/xss/),过滤掉了 <script> 关键字

再输入 <script> 测试

发现咱们的猜测没错,可以试试双写或者大小写混淆

攻击

关键字采用大小写混淆

攻击成功

双写被过滤的标签

攻击成功

相关推荐
程序员小易21 小时前
前端轮子(1)--前端部署后-判断页面是否为最新
前端·vue.js·node.js
xiaoxue..21 小时前
列表转树结构:从扁平列表到层级森林
前端·javascript·算法·面试
bleach-21 小时前
应急响应之入侵检测排查——Windows篇—,Windows日志介绍分析
windows·安全·web安全·网络安全·系统安全
小oo呆21 小时前
【自然语言处理与大模型】LangChainV1.0入门指南:核心组件Agent
前端·javascript·easyui
Hao_Harrision1 天前
50天50个小项目 (React19 + Tailwindcss V4) ✨ | DrawingApp(画板组件)
前端·react.js·typescript·tailwindcss·vite7
dly_blog1 天前
Vite 原理与 Vue 项目实践
前端·javascript·vue.js
合才科技1 天前
【要闻周报】网络安全与数据合规 12-20
安全·web安全
重生之我在番茄自学网安拯救世界1 天前
网络安全中级阶段学习笔记(九):upload靶场实战(14-16关)-图片马制作与通过教学
笔记·学习·网络安全·文件上传漏洞·图片木马
仅此,1 天前
前端接收了id字段,发送给后端就变了
java·前端·javascript·spring·typescript
Lovely Ruby1 天前
[前端] 封装一下 echart 6,发布到 npm
前端·npm·node.js
热门推荐
01GitHub 镜像站点02UV安装并设置国内源03Linux下V2Ray安装配置指南04BongoCat - 跨平台键盘猫动画工具05安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)06在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)07jdk21下载、安装(Windows、Linux、macOS)08Open-AutoGLM Windows 安装部署教程09sqli-labs靶场通关笔记:第18-19关 HTTP头部注入10Labelme从安装到标注:零基础完整指南