Low 级别反射型 XSS 演示(附链接)

简介: Low 级别反射型 XSS 演示(附链接)

环境准备

如何搭建 DVWA 靶场保姆级教程(附链接)

https://eclecticism.blog.csdn.net/article/details/135834194?spm=1001.2014.3001.5502

测试

打开 DVWA 靶场并登录,找到反射型 XSS 页面(笔者这里是 Low 级别)


先右键检查输入框属性

代码如下:

<form name="XSS" action="#" method="GET">
      <p>
        What's your name?
        <input type="text" name="name">
        <input type="submit" value="Submit">
      </p>
      <input type="hidden" name="user_token" value="861684fb1e67c2b5baf6a896196ac462">
    </form>
  1. :
  • name="XSS": 表单的名称为 "XSS"。
  • action="#": 表单提交时将数据发送到当前页面。
  • method="GET": 表单使用GET方法提交,将数据附加在URL上。
  1. What's your name? ...

  • 一个段落标签包含了表单的说明文本。
  • 文本输入框,用于用户输入名字。name="name"指定了该输入框的名称为 "name",这个名称将用于在提交时标识这个字段。
  • 提交按钮,当用户点击它时,表单数据将被提交。
  • 隐藏字段,用户不可见,但会随表单一起提交。这里的隐藏字段是一个名为 "user_token"的字段,其值是 "861684fb1e67c2b5baf6a896196ac462"。通常用于在表单中包含一些需要传递给服务器但不希望用户看到的数据,比如安全令牌或验证信息。

输入正常值并提交

可以看到多个了

 标签

尝试输入 HTML 标签并提交观察反应

morant

发现嵌套在

 内,说明没有做过滤和防护


尝试输入 JavaScript 代码提交并观察反应

说明存在反射型 XSS


相关文章
|
1月前
|
JavaScript 安全 前端开发
同源策略如何防止 XSS 攻击?
【10月更文挑战第31天】同源策略通过对 DOM 访问、Cookie 访问、脚本执行环境和跨源网络请求等多方面的严格限制,构建了一道坚实的安全防线,有效地防止了 XSS 攻击,保护了用户在网络浏览过程中的数据安全和隐私。
99 49
|
1月前
|
安全 前端开发 Java
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第26天】Web安全是现代软件开发的重要领域,本文深入探讨了XSS和CSRF两种常见攻击的原理及防御策略。针对XSS,介绍了输入验证与转义、使用CSP、WAF、HTTP-only Cookie和代码审查等方法。对于CSRF,提出了启用CSRF保护、设置CSRF Token、使用HTTPS、二次验证和用户教育等措施。通过这些策略,开发者可以构建更安全的Web应用。
87 4
|
1月前
|
安全 Go PHP
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第27天】本文深入解析了Web安全中的XSS和CSRF攻击防御策略。针对XSS,介绍了输入验证与净化、内容安全策略(CSP)和HTTP头部安全配置;针对CSRF,提出了使用CSRF令牌、验证HTTP请求头、限制同源策略和双重提交Cookie等方法,帮助开发者有效保护网站和用户数据安全。
70 2
|
1月前
|
存储 安全 Go
Web安全基础:防范XSS与CSRF攻击的方法
【10月更文挑战第25天】Web安全是互联网应用开发中的重要环节。本文通过具体案例分析了跨站脚本攻击(XSS)和跨站请求伪造(CSRF)的原理及防范方法,包括服务器端数据过滤、使用Content Security Policy (CSP)、添加CSRF令牌等措施,帮助开发者构建更安全的Web应用。
92 3
|
1月前
|
SQL 存储 安全
什么是XSS攻击?什么是SQL注入攻击?什么是CSRF攻击?
理解并防范XSS、SQL注入和CSRF攻击是Web应用安全的基础。通过采用严格的输入验证、使用安全编码实践以及实现适当的身份验证和授权机制,可以有效防止这些常见的Web攻击,保障应用程序和用户的数据安全。
40 0
|
3月前
|
存储 安全 JavaScript
XSS跨站脚本攻击详解(包括攻击方式和防御方式)
这篇文章详细解释了XSS跨站脚本攻击的概念、原理、特点、类型,并提供了攻击方式和防御方法。
554 1
|
2月前
|
存储 JavaScript 安全
|
2月前
|
存储 JavaScript 前端开发
Xss跨站脚本攻击(Cross Site Script)
Xss跨站脚本攻击(Cross Site Script)
|
4月前
|
存储 安全 JavaScript
解释 XSS 攻击及其预防措施
【8月更文挑战第31天】
340 0
|
4月前
|
SQL 监控 安全
在Linux中,如何检测和防止SQL注入和跨站脚本(XSS)攻击?
在Linux中,如何检测和防止SQL注入和跨站脚本(XSS)攻击?