DVWA篇六:存储型XSS

简介:

1      测试环境介绍

测试环境为OWASP环境中的DVWA模块

2      测试说明

XSS又叫CSS (CrossSite Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的,比如获取用户的cookie,导航到恶意网站,携带木马等等。利用该漏洞,攻击者可以劫持已通过验证的用户的会话。劫持到已验证的会话后,攻击发起者拥有该授权用户的所有权限。

3      测试步骤

在输入框中输入javascrip脚本代码:

<script>alert(/xxshack/)</script>

wKioL1g-i6qBl4DsAABgdDA3rW4288.png


执行完后会弹出一个对话框,这个跨站脚本就会一直存在服务器上面,下次登录时一样会弹出对话框来,除非删除。

wKioL1g-i6uBJvhmAAB0SxXTzPU649.png



本文转自 老鹰a  51CTO博客,原文链接:http://blog.51cto.com/laoyinga/1878201

相关文章
|
9月前
|
存储 PHP
PHP审计-存储XSS挖掘
PHP审计-存储XSS挖掘
PHP审计-存储XSS挖掘
|
9月前
|
SQL 存储 JavaScript
[网络安全]DVWA之XSS(Stored)攻击姿势及解题详析合集
trim() 函数移除字符串两侧的空格,以确保数据在插入到数据库时没有多余的空白字符
65 0
[网络安全]DVWA之XSS(Stored)攻击姿势及解题详析合集
|
9月前
|
机器学习/深度学习 存储 网络协议
[网络安全]DVWA之XSS(Reflected)攻击姿势及解题详析合集
先提交name1 浏览顶部URL栏发现为GET请求
67 0
|
9月前
|
JavaScript 前端开发 网络安全
[网络安全]DVWA之XSS(DOM)攻击姿势及解题详析合集
XSS(DOM)-low level 源代码未进行任何过滤 复选框中的内容为可变参数
99 0
|
9月前
|
存储 数据库
力大砖飞-存储型Xss Fuzz手法
力大砖飞-存储型Xss Fuzz手法
92 0
|
9月前
|
存储 SQL 监控
某xxphp网站后台存储型XSS漏洞分析
某xxphp网站后台存储型XSS漏洞分析
|
9月前
|
JavaScript 安全 数据安全/隐私保护
dvwa下利用xss获取cookie并利用(绕过验证)
dvwa下利用xss获取cookie并利用(绕过验证)
427 0
|
存储 安全 JavaScript
gitlab漏洞系列-存在于markdown中的存储型XSS
背景 复现步骤 影响 绕过csp示例 后续
130 0
|
存储 安全 前端开发
gitlab漏洞系列-RDoc wiki页面中的存储型XSS
背景 复现步骤 gitlab漏洞系列-RDoc wiki页面中的存储型XSS
110 0
gitlab漏洞系列-RDoc wiki页面中的存储型XSS