环境准备
DVWA 靶场
https://eclecticism.blog.csdn.net/article/details/135834194?spm=1001.2014.3001.5502
测试
打开页面
输入正常值观察
一样的,用户名做了长度限制
更改后输入 HTML 标签语句测试
一样没有做过滤,接下来试试 JS 恶意代码
发现只剩下了 alert(/xss/),过滤掉了 <script> 关键字
再输入 <script> 测试
发现咱们的猜测没错,可以试试双写或者大小写混淆
攻击
关键字采用大小写混淆
攻击成功
双写被过滤的标签
攻击成功
