介绍
xss可以分成三种,DOM型,反射型,存储型。在dvwa中,也有这三种的演练平台。
这是一篇关于我在学习和测试中的笔记。
一
先说浏览器的选择,要使用Firefox火狐浏览器,因为它没做xss filter。所以有些人如果在谷歌浏览器上测试,会发现注入xss代码后却没有效果。
二
freebuf中的这两篇文章写的很好,但是没有dom型xss的演示。
新手指南:DVWA-1.9全级别教程(完结篇,附实例)之XSS - FreeBuf互联网安全新媒体平台
和
绕过DVWA所有安全级别的XSS Payload - FreeBuf互联网安全新媒体平台
所以可以先看
通过DVWA学习DOM型XSS - Mi1k7ea - CSDN博客
和
DVWA--XSS(DOM) - 潜心学习的小菜狗 - 博客园
三
如果出现无法更改等级,一直显示impossible的问题,参考:www.tuziang.com/combat/2116.html
四
在存储型xss模块中,可以点击clear guestbook
来清除留言后再切换到其他等级。