DVWA的使用5–XSS(Reflected)(反射型跨站脚本)
2018-03-27 16:07
423 查看
DVWA的使用5–XSS(Reflected)(反射型跨站脚本)
xss 中文名是“跨站脚本攻击”,英文名“Cross Site Scripting”。xss也是一种注入攻击,当web应用对用户输入过滤不严格,攻击者写入恶意的脚本代码(HTML、JavaScript)到网页中时,如果用户访问了含有恶意代码的页面,恶意脚本就会被浏览器解析执行导致用户被攻击。
1).low级别
源码:
直接通过$_GET方式获取name的值,之后未进行任何编码和过滤,导致用户输入一段js脚本会执行。
漏洞利用:
输入
2)medium级别
源码:
str_replace对输入的
就会进行过滤导致代码执行不成功.
漏洞利用:
多写入一个
输入:
3)high级别
源码:
preg_replace执行一个正则表达式的搜索和替换,这时候不论是大小写、双层
4)impossible级别
源码:
使用htmlspecialchars函数把预定义的字符&、”、 ’、<、>转换为 HTML 实体,防止浏览器将其作为HTML元素。
更多dvwa的使用及漏洞利用:https://blog.csdn.net/zjw0411/article/category/7542496
相关文章推荐
- DVWA的使用6--XSS(Stored)(存储型跨站脚本)
- 考虑使用AntiXss.HtmlEncode方法来防止跨站点脚本攻击
- 跨站点脚本(xss)解析(一)反射型xss漏洞
- 【安全牛学习笔记】手动漏洞挖掘-SQL注入XSS-简介、跨站脚本检测和常见的攻击利用手段
- Asp.net安全架构之xss(跨站脚本)
- XSS跨站脚本漏洞修复建议- 如何防御CSS CrossSiteScript 跨站脚本攻击
- 跨站脚本专题(XSS)
- XSS跨站脚本小结
- 跨站脚本 XSS<一:介绍>
- Asp.net安全架构之1:xss(跨站脚本)
- 深入解析跨站点脚本攻击XSS
- ASP.NET Core中的OWASP Top 10 十大风险-跨站点脚本攻击 (XSS)
- DVWA漏洞学习(2)反射型XSS
- 跨站脚本***(XSS***)
- xss跨站脚本测试
- 反射型跨站脚本漏洞的几种类型
- Struts1.x 跨站脚本(XSS)漏洞的解决
- PHP预防跨站脚本(XSS)攻击且不影响html代码显示效果
- 跨站脚本XSS
- Asp.net安全架构之1:xss(跨站脚本)