Medium 级别存储型 XSS 攻击演示(附链接)

香甜可口草莓蛋糕2024-04-03 10:59

环境准备

DVWA 靶场https://eclecticism.blog.csdn.net/article/details/135834194?spm=1001.2014.3001.5502

测试

打开页面

输入正常值观察

一样的,用户名做了长度限制

更改后输入 HTML 标签语句测试

一样没有做过滤,接下来试试 JS 恶意代码

发现只剩下了 alert(/xss/),过滤掉了 <script> 关键字

再输入 <script> 测试

发现咱们的猜测没错,可以试试双写或者大小写混淆

攻击

关键字采用大小写混淆

攻击成功

双写被过滤的标签

攻击成功

相关推荐
馨谙2 分钟前
Linux中的管道与重定向:深入理解两者的本质区别
前端·chrome
2401_885405516 分钟前
定位守护童年,科技构筑安全屏障
科技·物联网·安全·小程序·宠物·web app·智能手表
夏天想10 分钟前
复制了一个vue的项目然后再这个基础上修改。可是通过npm run dev运行之前的老项目,发现运行的竟然是拷贝后的项目。为什么会这样?
前端·vue.js·npm
newxtc13 分钟前
【 广州产权交易所-注册安全分析报告-无验证方式导致安全隐患】
开发语言·人工智能·selenium·安全·yolo
@大迁世界17 分钟前
这个 CSS 特性,可能终结样式冲突
前端·css
zzzsde30 分钟前
【C++】深入理解string类(5)
java·前端·算法
袁煦丞33 分钟前
随机菜谱解救选择困难!YunYouJun/cook 成为你的厨房锦囊:cpolar内网穿透实验室第549个成功挑战
前端·程序员·远程工作
携欢41 分钟前
PortSwigger靶场之CSRF where token is tied to non-session cookie通关秘籍
运维·服务器·前端
深盾安全1 小时前
鸿蒙HAP文件数字签名提取全攻略
安全
我是华为OD~HR~栗栗呀1 小时前
华为OD-21届考研-Java面经
java·前端·c++·python·华为od·华为·面试
热门推荐
01GitHub 镜像站点02两千字总结:Codex 国内如何安装和使用的教程,以及如何设置中文回答03BongoCat - 跨平台键盘猫动画工具04UV安装并设置国内源05GitLab 零基础入门指南:从安装到项目管理全流程06Linux下V2Ray安装配置指南07windows找不到gpedit.msc(本地组策略编辑器)0846个Nano-banana 精选提示词,持续更新中09Labelme从安装到标注:零基础完整指南102025 最新教程:注册并切换到美区 Apple ID