Stored XSS(存储型跨站脚本攻击)

已于 2025-06-13 11:50:20 修改
阅读量229 收藏 2
点赞数 4
CC 4.0 BY-SA版权
分类专栏: 安全测试 文章标签: xss 安全性测试
于 2025-06-13 11:48:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43435891/article/details/148629184

📍 路径

进入 DVWA 的菜单:

http://localhost:8080/vulnerabilities/xss_s/

你会看到一个带有 NameMessage 两个输入框的表单。

🧪 Step 1:输入 XSS Payload

在表单中输入如下内容:

  • Name: hacker
  • Message:
<script>alert('Stored XSS')</script>

点击 Sign Guestbook 提交。

✅ 预期效果
页面会刷新,并在页面下方的留言区显示提交的 Name 和 Message。
此时你应该看到浏览器弹出一个提示框 “Stored XSS”。
在这里插入图片描述

🔁 Step 2:验证它是“存储型”

  • 你刷新页面或重新访问该 URL,不需要再次提交表单,也会自动弹出。
  • 说明脚本已经被存储在后端数据库中,每次加载时自动执行。

💡 Step 3:尝试不同 Payload 绕过

如果你使用

图片 onerror

<img src=x onerror=alert('XSS')>

在这里插入图片描述

SVG onload

<svg onload=alert('XSS')>

在这里插入图片描述

带链接的 payload

<a href="javascript:alert('XSS')">Click me</a>

在这里插入图片描述

XSS(Stored)
kid的博客
05-02 3009
XSS(Stored) 前言 看了一个web的安全视频,里面有说说有的web漏洞都是输入输出的控制问题,虽然感觉说的太笼统了。但确实没什么毛病。sql注入来说,对用户的输入做好处理,对服务端的输出做好处理,对于我这样的菜鸡来说就很难了(字符注入对单引号转义就感觉好难做啊) XSS也是这样。因为对用户输入控制的不严格,让用户的输入被当做代码执行。这和sql感觉就十分相似了。只不过一个是对数据库一个...
XSS漏洞(跨站脚本攻击
2301_76622364的博客
12-18 1252
XSS存储反射DOM触发过程构造xss脚本后正常用户访问携带xss脚本页面正常用户访问携带xss脚本的URL正常用户访问携带xss脚本的url数据存储数据库URLURL谁来输出后端web应用程序后端web应用程序前端Javascript输出位置http响应中http响应中动态构造的DOM节点是否持久是否否。
Stored XSS攻击
weixin_33712881的博客
03-01 295
XSS(Cross Site Scripting) 即跨域脚本攻击,向被攻击网站注入恶意脚本,恶意脚本获取到数据发送到另外一个域的网站上。 Stored XSS攻击 即存储XSS攻击。 把恶意脚本存储到被攻击者的网站的数据库。 其他人访问数据库中的恶意脚本代码后,浏览器执行恶意脚本,被攻击。 存储式攻击不止一次攻击,并且被攻击的人不止一个,影响范围大。 Stored X...
xssstored
yuysjx的博客
02-12 237
xss
DVWA4_Stored XSS(存储XSS)
weixin_44193247的博客
03-10 286
DVWA漏洞复现练习篇
DVWA之Stored XSS(存储XSS)
weixin_50464560的博客
03-14 325
目录 Low Medium High Impossible Low 源代码: <?phpif( isset( $_POST[ 'btnSign' ] ) ) { // Get input $message = trim( $_POST[ 'mtxMessage' ] ); $name = trim( $_POST[ 'txtName' ] ); ...
DVWA系列之XSS(跨站脚本攻击)——存储XSS源码分析及漏洞利用
7Riven's blog
11-27 1533
存储XSS 存储XSS持久化,代码是存储在服芻器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户每次访问该页面的时候都会触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃 cookie 1、hack插入恶意js 2、服务器返回含有恶意js页面 3、由于恶意js会一直存储在服务器端,所以每个目标点击含有恶意js页面都会跳转到第三方...
XSS跨站脚本攻击课件
11-24
2. **存储XSSStored XSS)**:与反射不同,存储XSS是持久性的。攻击者将恶意脚本存储在服务器的数据库或文件系统中,等待受害者浏览含有这些代码的页面。比如,攻击者在论坛发帖包含恶意脚本,其他用户查看...
跨站脚本攻击XSS):原理、案例与全方位防御策略
m0_61532714的博客
06-12 2412
通过深入理解XSS的攻击原理及其潜在影响,开发者和安全从业者可以采取有效的防御措施来保护Web应用程序的安全。多层次的综合防御策略,包括输入验证、输出编码、内容安全策略和HTTP头部安全配置,是防范XSS攻击的关键。攻击者利用XSS漏洞可以在用户浏览的网页中注入恶意脚本,从而盗取用户数据、劫持用户会话、修改网页内容等。基于DOM的XSS是指恶意脚本通过修改网页的DOM结构在客户端执行,而不经过服务器的处理。CSP是一种强大的防御机制,通过限制浏览器能够执行哪些脚本,防止XSS攻击。
跨站脚本攻击XSS)详解
2402_86725606的博客
01-05 1802
跨站脚本攻击XSS,Cross-Site Scripting)是一种通过在网页中注入恶意脚本,攻击用户浏览器的漏洞。攻击者可以利用XSS窃取用户敏感信息、劫持会话、或在受害者浏览器中执行恶意操作。通过及时识别和修复漏洞、使用安全编码实践和部署防御技术,可以有效预防XSS攻击的发生。
DVWA-XSS (Stored)-存储XSS
seanyang_的博客
06-12 2938
跨站点脚本 (XSS)”攻击是一种注入问题,其中恶意脚本被注入到原本良性和受信任的网站上。当攻击者使用 Web 应用程序发送恶意代码(通常以浏览器端脚本的形式)时,就会发生 XSS 攻击, 给其他最终用户。允许这些攻击成功的缺陷非常普遍,并且发生在使用输出中用户输入的Web应用程序的任何地方, 无需验证或编码。攻击者可以使用 XSS 向毫无戒心的用户发送恶意脚本。最终用户的浏览器无法知道脚本不应该被信任, 并将执行 JavaScript。
DVWA 存储XSS(Stored)
qq_43452198的博客
04-23 1033
XSS Storedlowmediumhighimpossible low <?php if( isset( $_POST[ 'btnSign' ] ) ) { // Get input $message = trim( $_POST[ 'mtxMessage' ] ); $name = trim( $_POST[ 'txtName' ] ); //...
DVWA 之 XSSstored存储XSS
RexHa的博客
10-08 2428
dvwa 存储XSS
DVWA靶场——XSS(Stored)
sucker的博客
12-02 2295
标签和alert关键字的机制。2,使用最简单的XSS漏洞测试语句进行测试,但是要先判断存在漏洞的注入点,payload:<script>alert('XSS')
DVWA靶场练习(十一)—— XSS (Stored)
liuzibo1024的博客
11-09 831
存储XSS(Cross Site Scripting)是一种常见的网络安全漏洞,也被称为持久XSS。它的核心特点是恶意脚本被永久地存储在目标服务器的数据库或文件中,当其他用户访问这些被注入恶意脚本的页面时,恶意脚本会在他们的浏览器中执行。与反射XSS不同,存储XSS的恶意代码是存储在服务器端的,这意味着它们可以被用来攻击多个用户,而不是一次性的攻击。
DVWA通关--存储XSSXSS (Stored)
箭雨镜屋
07-16 8857
LOW 通关步骤 源码分析 MEDIUM 通关步骤 源码分析 HIGH 通关步骤 源码分析 IMPOSSIBLE 源码分析 总结
DVWA通关之Stored-XSS
ZJLE的博客
08-06 209
DVWA通关之Stored-XSSLow:Medium:High: 存储XSS Low: 源码分析一下: <?php if( isset( $_POST[ 'btnSign' ] ) ) { // Get input // trim(string,charlist) 函数移除字符串两侧的空白字符或其他预定义字符,预定义字符包括、\t、\n、\x0B、\r以及空格,可选参数charlist支持添加额外需要删除的字符。 $message = trim( $_POST[ 'mtxMess
存储跨站脚本攻击XSS测试场景
最新发布
07-15
存储跨站脚本攻击Stored XSS)是一种常见的 Web 安全漏洞,攻击者将恶意脚本注入到目标网站的数据库中,当其他用户访问该页面时,脚本会在其浏览器中执行。这种类XSS 常见于评论区、用户资料页、论坛帖子等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值