Medium 级别存储型 XSS 攻击演示(附链接)

香甜可口草莓蛋糕2024-04-03 10:59

环境准备

DVWA 靶场https://eclecticism.blog.csdn.net/article/details/135834194?spm=1001.2014.3001.5502

测试

打开页面

输入正常值观察

一样的,用户名做了长度限制

更改后输入 HTML 标签语句测试

一样没有做过滤,接下来试试 JS 恶意代码

发现只剩下了 alert(/xss/),过滤掉了 <script> 关键字

再输入 <script> 测试

发现咱们的猜测没错,可以试试双写或者大小写混淆

攻击

关键字采用大小写混淆

攻击成功

双写被过滤的标签

攻击成功

相关推荐
小满zs2 分钟前
Zustand 第三章(状态简化)
前端·react.js
普宁彭于晏3 分钟前
元素水平垂直居中的方法
前端·css·笔记·css3
恋猫de小郭15 分钟前
为什么跨平台框架可以适配鸿蒙,它们的技术原理是什么?
android·前端·flutter
云浪18 分钟前
元素变形记:CSS 缩放函数全指南
前端·css
明似水33 分钟前
用 Melos 解决 Flutter Monorepo 的依赖冲突:一个真实案例
前端·javascript·flutter
独立开阀者_FwtCoder43 分钟前
stagewise:让AI与代码编辑器无缝连接
前端·javascript·github
清沫1 小时前
Cursor Rules 开发实践指南
前端·ai编程·cursor
恰薯条的屑海鸥1 小时前
零基础在实践中学习网络安全-皮卡丘靶场(第十四期-XXE模块)
网络·学习·安全·web安全·渗透测试
20242817李臻1 小时前
20242817李臻-安全文件传输系统-项目验收
数据库·安全
江城开朗的豌豆1 小时前
JavaScript篇:对象派 vs 过程派:编程江湖的两种武功心法
前端·javascript·面试
热门推荐
01【图像处理与机器视觉】XJTU期末考点02从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑03KGG转MP3工具|非KGM文件|解密音频04海康Visionmaster-常见问题排查方法-启动阶段05YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】06【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!07R-tree详解08Coze扣子平台完整体验和实践(附国内和国际版对比)09DeepSeek各版本说明与优缺点分析10ICASSP2025 SPGC Challenge认知衰退挑战赛——通过自发语音的认知能力下降预测与识别(PROCESS)信号处理大奖赛