本周学习内容:
1.学习web应用安全权威指南;
2.学习乌云漏洞;
实验内容:
DVWA实验XSS跨站脚攻击
实验步骤:
Low
1.打开DVWA,进入DVWA security模块,将难度修改为Low,点击submit进行保存
2.进入XSS(Reflected)模块,输入代码<script>alert(/xss/)</script>,点击submit按钮提交
3.页面会弹出提示
4.这是因为原代码中直接引用了name的参数,并没有任何的过滤与检查,alert是弹窗的意思
Medium
1.将DVWA security模块,难度修改为Medium
2.中级难度代码中,只是把<script>过滤了,可以使用大小写和双写绕过
2.输入<sc<script>ript>alert(/xss/)</script>,成功弹出
3.使用大小写<Script>alert(/xss/)</script>进行绕过
High
1.高级别的代码中,使用了正则表达式将<script>双写大小写全部过滤,是这个方法不能再使用
2.可以通过插入img、body标签的方式来注入