dvwa,中等难度xss
作者:互联网
学了一段时间,感觉会了很多,但又觉得自己学的很虚浮,决定沉下心来,写点博客。
先看题目
简单提交一下<script>alert(1)</script>,返回页面是这个样子。
查看页面源代码发现只显示了alert(1)</script>
开始没什么想法,决定再写几个script试试,发现alert前的<script>都会消失,我开始怀疑是对alert前面的代码进行检测,但测试后发现其实只要是<script>都会消失。猜测只是替换<script>,简单进行一下测试,使用大小写混合,就绕过了。成功反弹
现在查看一下源代码。判断自己是否判断正确。
str_replace把<script>替换成空,猜测正确。
存储型xss
提交后的界面
查看一下源代码
可以发现相关的<script></script>的都消失了
大胆猜测和上一个的情况一样测试一下。没用
看来是对传值,进行了小写处理,看看双写行不行。额,经过简单测试,发现不少标签我都没用成。裂开,试了半天,没想出来,看看代码。
strip_tags可以去除xml,php,html的标签,还有实体化转义,我直接裂开,但是可以看出name的过滤不是很严格。使用f12,修改maxlength。成功弹窗。
我的方法不唯一,只是寻找思路。查看自身。可以看出,自己还是需要多多学习,
标签:xss,查看,一下,中等,dvwa,alert,测试,源代码 来源: https://www.cnblogs.com/x1aohui/p/16472293.html