DVWA的使用5–XSS（Reflected）（反射型跨站腳本）

xss 中文名是“跨站腳本攻擊”，英文名“Cross Site Scripting”。

xss也是一種注入攻擊，當web應用對使用者輸入過濾不嚴格，攻擊者寫入惡意的腳本代碼（HTML、JavaScript）到網頁中時，如果使用者通路了含有惡意代碼的頁面，惡意腳本就會被浏覽器解析執行導緻使用者被攻擊。

1).low級别

源碼：

直接通過$_GET方式擷取name的值，之後未進行任何編碼和過濾，導緻使用者輸入一段js腳本會執行。

漏洞利用：

輸入

2)medium級别

源碼：

str_replace對輸入的

就會進行過濾導緻代碼執行不成功.

漏洞利用：

多寫入一個

輸入：

3)high級别

源碼：

preg_replace執行一個正規表達式的搜尋和替換，這時候不論是大小寫、雙層

4)impossible級别

源碼：

使用htmlspecialchars函數把預定義的字元&、”、 ’、<、>轉換為 HTML 實體，防止浏覽器将其作為HTML元素。

更多dvwa的使用及漏洞利用：https://blog.csdn.net/zjw0411/article/category/7542496