DVWA指点迷津-XSS(DOM)

肉肉球麻里

于 2020-10-22 11:43:47 发布

阅读量211

点赞数

分类专栏：网络安全文章标签：安全 xss 安全漏洞

本文链接：https://blog.youkuaiyun.com/weixin_46178304/article/details/109218511

版权

这篇博客深入探讨了DOM Based XSS的特点，包括它既可能是反射型也可能是存储型，并揭示了这种漏洞的危害，如泄露用户信息和篡改网页。文章以DVWA为例，详细阐述了不同安全级别下（Low, Medium, High, Impossible）的防御措施和攻击方式，展示了如何通过构造XSS测试payload来绕过服务器的防护策略。" 114145340,7646297,JavaEE数据库连接池详解：C3P0与Druid,"['JavaWeb', '数据库连接池', 'C3P0', 'Druid']

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

DOM Based XSS

特点

既可能是反射型，也可能是存储型。利用前端的DOM树来造成XSS攻击。

漏洞危害

泄露用户的Cooike
泄露用户的IP地址、浏览器信息
篡改网页
XSS钓鱼

DVWA

Low

应用防御措施

仅有前端代码，服务器无任何防御措施

攻击方式

通过修改URL传递参数，构造XSS测试payload

Payload:?default=<script>alert('xss')</script>

Medium

应用防御措施

服务器做了对“script”的验证
stripos ($default, “<script”)查找“<script”在参数中第一次出现的位置，若出现，则返回默认值English。

攻击方式

用其他函数绕过

 Payload：
 </option></select><svg onload=alert("xss")>
 </option></select><img src="" onerror=alert(/xss/) />

<

最低0.47元/天解锁文章