标签:xss 查看 一下 中等 dvwa alert 测试 源代码
学了一段时间,感觉会了很多,但又觉得自己学的很虚浮,决定沉下心来,写点博客。
先看题目
简单提交一下<script>alert(1)</script>,返回页面是这个样子。
查看页面源代码发现只显示了alert(1)</script>
开始没什么想法,决定再写几个script试试,发现alert前的<script>都会消失,我开始怀疑是对alert前面的代码进行检测,但测试后发现其实只要是<script>都会消失。猜测只是替换<script>,简单进行一下测试,使用大小写混合,就绕过了。成功反弹
现在查看一下源代码。判断自己是否判断正确。
str_replace把<script>替换成空,猜测正确。
存储型xss
提交后的界面
查看一下源代码
可以发现相关的<script></script>的都消失了
大胆猜测和上一个的情况一样测试一下。没用
看来是对传值,进行了小写处理,看看双写行不行。额,经过简单测试,发现不少标签我都没用成。裂开,试了半天,没想出来,看看代码。
strip_tags可以去除xml,php,html的标签,还有实体化转义,我直接裂开,但是可以看出name的过滤不是很严格。使用f12,修改maxlength。成功弹窗。
我的方法不唯一,只是寻找思路。查看自身。可以看出,自己还是需要多多学习,
标签:xss,查看,一下,中等,dvwa,alert,测试,源代码 来源: https://www.cnblogs.com/x1aohui/p/16472293.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。