DVWA的使用5–XSS(Reflected)(反射型跨站腳本)
xss 中文名是“跨站腳本攻擊”,英文名“Cross Site Scripting”。
xss也是一種注入攻擊,當web應用對使用者輸入過濾不嚴格,攻擊者寫入惡意的腳本代碼(HTML、JavaScript)到網頁中時,如果使用者通路了含有惡意代碼的頁面,惡意腳本就會被浏覽器解析執行導緻使用者被攻擊。
1).low級别
源碼:
直接通過$_GET方式擷取name的值,之後未進行任何編碼和過濾,導緻使用者輸入一段js腳本會執行。
漏洞利用:
輸入
2)medium級别
源碼:
str_replace對輸入的
就會進行過濾導緻代碼執行不成功.
漏洞利用:
多寫入一個
輸入:
3)high級别
源碼:
preg_replace執行一個正規表達式的搜尋和替換,這時候不論是大小寫、雙層
4)impossible級别
源碼:
使用htmlspecialchars函數把預定義的字元&、”、 ’、<、>轉換為 HTML 實體,防止浏覽器将其作為HTML元素。
更多dvwa的使用及漏洞利用:https://blog.csdn.net/zjw0411/article/category/7542496