XSS（跨站腳本攻擊）：

（實驗基礎：有php語言和html語言基礎）

• XSS分類：

反射型XSS--->XSS(reflected)

存儲型XSS---->XSS(stored)

• 實驗原理：

利用javascript腳本實行跨站攻擊

• 實驗過程：

XSS(reflected)

1、low

構造惡意腳本：<script>alert(1)</script>

2、Medium

用之前的腳本攻擊發現沒用，查看php源碼：

發現輸入被進行了限制但并未進行大小寫忽略，所以可用大小寫繞過

構造惡意腳本：<Script>alert(1)</script>

也可用雙寫繞過，構造惡意腳本：<scr<script>ipt>alert(1)</script>

3、high

用之前兩次構造的惡意腳本攻擊發現都沒用，此時再次查看php源碼

發現輸入被進行了限制且大小寫忽略，所以可用標簽繞過

構造惡意腳本攻擊：<body οnlοad=alert(1)>?---------->onload 事件會在頁面或圖像加載完成后立即發生。onload 通常用于 <body> 元素，在頁面完全載入后(包括圖片、css文件等等。)執行腳本代碼。

/ <img src=1 οnerrοr=alert(1)>------------>圖片加載不了時執行onerror對應的內容

?

?

?

總結

以上是生活随笔為你收集整理的dvwa-XSS(Reflected)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。