DVWA--XSS(DOM)

本文详细介绍了DVWA的XSS(DOM)攻击级别,从Low到Impossible,探讨了不同等级下的防御措施和攻击手段。在Low等级中,通过闭合HTML标签实现JavaScript弹窗;Medium等级利用stripos()函数绕过过滤;High等级下,浏览器的白名单过滤成为挑战;而Impossible等级则依赖于客户端的安全防护。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Javascript弹窗函数
在这里插入图片描述

Low 等级

在这里插入图片描述

Medium 等级

过滤了<script
stripos() 函数查找字符串在另一字符串中第一次出现的位置(不区分大小写)
在这里插入图片描述
使用img标签发现没有弹窗

在这里插入图片描述

查看网页源码,发现语句被插入到了value值中,并没有插入到option标签的值中,所以img标签并没有发起任何作用。
在这里插入图片描述
构造语句闭合option标签:

default=></option><img src=x onerror=alert(1)>

依旧没有弹窗
在这里插入图片描述

查看网页源代码,发现只有>被插入到了option标签的值中,因为</option>闭合了option标签,所以img标签并没有成功插入
在这里插入图片描述
构造语句闭合select标签:
default=></option></select><img src=x onerror=alert(1)>
成功弹窗
在这里插入图片描述
在这里插入图片描述

High 等级

使用白名单进行过滤
在这里插入图片描述
 URL中#号之后的内容,不会发送到服务器,可以直接与浏览器进行交互
https://dvwa.practice.rois.io/vulnerabilities/xss_d/?default=English#%3Cscript%3Ealert(1)%3C/script%3E在这里插入图片描述

Impossible 等级

在客户端进行了保护
在这里插入图片描述
大多数浏览器默认对从URL获取的内容进行编码,以防止执行任何注入的javascript

在这里插入图片描述

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值