DVWA靶机通关xss（二）

前面我们已经打开了靶机，这就不用在打开了，直接开始吧。
存储型的xss漏洞。
1.low

当我想在name处输入测试代码的时候，却被限制了输入长度，姑在name字段处是无法进行测试了的，就只能在message处进行操作了。
输入最基本的代码， 就会出现xss这个弹窗，可以猜到并没有做任何的过滤。

再次使用 这个语句也出现了相应的cookie，和反射型的xss一样，就不过多尝试了。

查源代码；

我们可以看到message并有做什么过滤，只是对sql注入有一定的作用。

2.Midum
还是以最初的那个代码进行了一次测试，已经不行了，已经把

3.High

从源码中我们可以看到，只是用了一个正则表达式而已，依然可以进行绕过。
使用：<img src = 1 onerror = alert(/xss/)> 和<svg onload=alert(/xss/)>

通过做了反射型和存储型，可以知道dvwa依旧做的还是那么老套。