DVWA靶机通关xss(二)

前面我们已经打开了靶机,这就不用在打开了,直接开始吧。
存储型的xss漏洞。
1.low
DVWA靶机通关xss(二)
当我想在name处输入测试代码的时候,却被限制了输入长度,姑在name字段处是无法进行测试了的,就只能在message处进行操作了。
输入最基本的代码, 就会出现xss这个弹窗,可以猜到并没有做任何的过滤。
DVWA靶机通关xss(二)

再次使用 这个语句也出现了相应的cookie,和反射型的xss一样,就不过多尝试了。
DVWA靶机通关xss(二)
查源代码;
DVWA靶机通关xss(二)
我们可以看到message并有做什么过滤,只是对sql注入有一定的作用。

2.Midum
还是以最初的那个代码进行了一次测试,已经不行了,已经把

3.High
DVWA靶机通关xss(二)
从源码中我们可以看到,只是用了一个正则表达式而已,依然可以进行绕过。
使用:<img src = 1 one rror = alert(/xss/)><svg onl oad=alert(/xss/)>

DVWA靶机通关xss(二)
通过做了反射型和存储型,可以知道dvwa依旧做的还是那么老套。

上一篇:安全测试之--DVWA***测试演练系统环境搭建


下一篇:oracle查看版本