Low 级别反射型 XSS 演示(附链接)

简介: Low 级别反射型 XSS 演示(附链接)

环境准备

如何搭建 DVWA 靶场保姆级教程(附链接)

https://eclecticism.blog.csdn.net/article/details/135834194?spm=1001.2014.3001.5502

测试

打开 DVWA 靶场并登录,找到反射型 XSS 页面(笔者这里是 Low 级别)


先右键检查输入框属性

代码如下:

<form name="XSS" action="#" method="GET">
      <p>
        What's your name?
        <input type="text" name="name">
        <input type="submit" value="Submit">
      </p>
      <input type="hidden" name="user_token" value="861684fb1e67c2b5baf6a896196ac462">
    </form>
  1. :
  • name="XSS": 表单的名称为 "XSS"。
  • action="#": 表单提交时将数据发送到当前页面。
  • method="GET": 表单使用GET方法提交,将数据附加在URL上。
  1. What's your name? ...

  • 一个段落标签包含了表单的说明文本。
  • 文本输入框,用于用户输入名字。name="name"指定了该输入框的名称为 "name",这个名称将用于在提交时标识这个字段。
  • 提交按钮,当用户点击它时,表单数据将被提交。
  • 隐藏字段,用户不可见,但会随表单一起提交。这里的隐藏字段是一个名为 "user_token"的字段,其值是 "861684fb1e67c2b5baf6a896196ac462"。通常用于在表单中包含一些需要传递给服务器但不希望用户看到的数据,比如安全令牌或验证信息。

输入正常值并提交

可以看到多个了

 标签

尝试输入 HTML 标签并提交观察反应

morant

发现嵌套在

 内,说明没有做过滤和防护


尝试输入 JavaScript 代码提交并观察反应

说明存在反射型 XSS


相关文章
|
12天前
|
存储 JavaScript
Medium 级别存储型 XSS 演示(附链接)
Medium 级别存储型 XSS 演示(附链接)
|
10天前
|
安全
OWASP ESAPI 预防XSS跨站脚本攻击_xss攻击引入esapi(1)
OWASP ESAPI 预防XSS跨站脚本攻击_xss攻击引入esapi(1)
|
12天前
|
存储 安全 JavaScript
【PHP开发专栏】PHP跨站脚本攻击(XSS)防范
【4月更文挑战第30天】本文探讨了Web开发中的XSS攻击,解释了其原理和分类,包括存储型、反射型和DOM型XSS。XSS攻击可能导致数据泄露、会话劫持、网站破坏、钓鱼攻击和DDoS攻击。防范措施包括输入验证、输出编码、使用HTTP头部、定期更新及使用安全框架。PHP开发者应重视XSS防护,确保应用安全。
|
12天前
|
存储 JavaScript 前端开发
High 级别存储型 XSS 演示(附链接)
High 级别存储型 XSS 演示(附链接)
|
12天前
|
存储 前端开发 JavaScript
Low 级别存储型 XSS 演示(附链接)
Low 级别存储型 XSS 演示(附链接)
|
12天前
|
JavaScript
High 级别 DOM 型 XSS 演示(附链接)
High 级别 DOM 型 XSS 演示(附链接)
|
12天前
|
JavaScript
Medium 级别 DOM 型 XSS 演示(附链接)
Medium 级别 DOM 型 XSS 演示(附链接)
|
12天前
|
JavaScript
Low 级别 DOM 型 XSS 演示(附链接)
Low 级别 DOM 型 XSS 演示(附链接)
|
12天前
|
存储 JavaScript 前端开发
前端xss攻击——规避innerHtml过滤标签节点及属性
前端xss攻击——规避innerHtml过滤标签节点及属性
55 4
|
12天前
|
JavaScript 安全 前端开发
js开发:请解释什么是XSS攻击和CSRF攻击,并说明如何防范这些攻击。
XSS和CSRF是两种常见的Web安全威胁。XSS攻击通过注入恶意脚本盗取用户信息或控制账户,防范措施包括输入验证、内容编码、HTTPOnly Cookie和CSP。CSRF攻击则诱使用户执行未经授权操作,防范手段有CSRF Tokens、双重验证、Referer检查和SameSite Cookie属性。开发者应采取这些防御措施并定期进行安全审计以增强应用安全性。
30 0