DVWA | 您所在的位置:网站首页 › 天气时报app下载 › DVWA |
任务一:DOM型XSS-初级 实验环境: 配置DVWA平台。 进入DVWA平台,选择DVWA Security,将安全级别设置为Low。 点击XSS(DOM),进入测试页面。。 步骤: 在界面出现弹框,弹框内容为本人姓名拼音。任务二:DOM型XSS-中级 实验环境: 配置DVWA平台。 进入DVWA平台,选择DVWA Security,将安全级别设置为Medium。 点击XSS(DOM),进入测试页面。。 步骤: 分析源码。选择“View Source”查看源程序, stripos函数过滤了标签,其中stripos表示不区分大小写,因此使用双写和大写小绕过就无效了。使用标签 使用标签: 3)获取当前界面cookie。使用> 进行参数闭合,再添加DOM标签参数进行XSS注入。 使用标签 使用标签: 任务三:DOM型XSS-高级 实验环境: 配置DVWA平台。 进入DVWA平台,选择DVWA Security,将安全级别设置为High。 点击XSS(DOM),进入测试页面。 步骤: 1)分析源码。选择“View Source”查看源程序,发现对参数进行了判断,如果不是选项,则使用默认的参数“English”。 2)在界面出现弹框,弹框内容为本人姓名拼音。(使用参数“#”进行截断,其后添加相应的注入命令,因为“#” 后的参数只在浏览器端显示,并不会传送到服务器端,也就不会被过滤。) 3)获取当前界面cookie。(使用参数“#”进行截断,其后添加相应的注入命令,因为“#” 后的参数只在浏览器端显示,并不会传送到服务器端,也就不会被过滤。) |
CopyRight 2018-2019 实验室设备网 版权所有 |