DVWA1.9平台XSS小结

LOW级别就不写了。。。。。。

直接上中高级别(结合源码更好理解)

1、XSS Reflected（Medium）

 

 

从源码中可以清楚的看到，输入的<script>标签被过滤掉了，看清了，只是<script>，尝试下大小写、双写或者img、a、iframe等标签吧！下面只演示一波大小写绕过。。

 

2、XSS Reflected（High）

medium级别过滤掉了<script>标签，菜都可以菜刀high铁定过滤了大小写和双写了，直接放弃使用<script>标签就好了..

3、XSS Stored（Medium）

message的内容被过滤的很彻底，只能想办法从name下手了，可是发现name的内容有字数限制，抓个包试试吧，结果竟然可以绕过数字的限制。。。

过程和上面一样，就不重复了。。