DVWA平台的反射型XSS漏洞实验

Posted IT信息安全资讯和黑客技术

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了DVWA平台的反射型XSS漏洞实验相关的知识,希望对你有一定的参考价值。

本文将在本地环境下,开展反射型XSS漏洞实验,涉及的软件包括:DVWA、phpStudy、FireFox。

1、Low级别的漏洞利用。未对参数ID进行检查,可以执行任意脚本。

请点击此处输入图片描述


2、Medium级别的漏洞利用。该安全级别代码对<script>进行一次过滤。构造一个双重script或者大小写混写,仍然成功执行。

DVWA平台的反射型XSS漏洞实验

请点击此处输入图片描述

DVWA平台的反射型XSS漏洞实验

请点击此处输入图片描述

3、High级别的漏洞利用。该安全级别代码对script字母进行与正则表达式匹配,并过滤之间的所有字符。此时利用img、iframe标签,仍然成功执行。

请点击此处输入图片描述

4、Impossible级别。该安全级别代码首先校验token,接着使用htmlspecialchars函数进行特殊字符转换。

请点击此处输入图片描述



以上是关于DVWA平台的反射型XSS漏洞实验的主要内容,如果未能解决你的问题,请参考以下文章

DVWA篇之XSS反射型

Pikachu漏洞练习平台实验——XSS

DVWA--全等级XSS反射型(Reflected)

反射型XSS+文件上传+CSRF—DVWA

DVWA之反射型XSS

DVWA 黑客攻防实战反射型 XSS 攻击 Reflected Cross Site Scripting