一、环境:DVWA
二、反射型XSS
1、随便输入字符qweasd,点击submit
2、输入
3、弹出对话框,说明存在xss漏洞,一次性的。
三、存储型XSS
1、正常留言
2、在内容里面填写如下代码
3、看不到留言内容,但实际已经存储了上面的代码,每次刷新页面都会弹出123
存储型xss,攻击脚本存储在目标服务器的数据库中,具有更强的隐蔽性
四、DOM型XSS
1、我们选择English,点击select
2、将地址栏中English替换成
3、查看源码,脚本已插入到代码中
禁止非法,后果自负
