当前位置: 首页 > news >正文

dvwa11——XSS(Reflected)

news 2025/6/6 8:50:49

LOW

分析源码:无过滤

和上一关一样,这一关在输入框内输入,成功回显

<script>alert('relee');</script>

MEDIUM

分析源码,是把<script>替换成了空格,但没有禁用大写

改大写即可,注意函数大小写不要变

<SCRIPT>alert('RELEE');</SCRIPT>

回显成功 

HIGH

分析源码,用preg_replace()函数过滤掉了<script>大小写所有形式

那就用img绕过

<img src=x onerror="alert('relee')">

回显成功 

IMPOSSIBLE

查看源码:

优化:

  1. token验证
  2. htmlspecialchars()函数:把特殊字符转化成html实体(一种特殊编码格式),彻底阻断了xss,例如:将<script>转换为&lt;script&gt;,使浏览器不解析为HTML标签

❀❀❀ 完结撒花!!❀❀❀

http://www.xdnf.cn/news/889669.html

相关文章:

  • 视频爬虫的Python库
  • 鸿蒙Next开发真机调试签名申请流程
  • Qt/C++学习系列之QGroupBox控件的简单使用
  • 【TinyWebServer】线程同步封装
  • Raw Denoising 论文,以及如何制作noisy-clean图像对
  • AI问答-vue3+ts+vite:http://www.abc.com:3022/m-abc-pc/#/snow 这样的项目 在服务器怎么部署
  • 亲测解决self.transform is not exist
  • vscode里如何用git
  • TIA博途中的程序导出为PDF格式的具体方法示例
  • [zynq] Zynq Linux 环境下 AXI BRAM 控制器驱动方法详解(代码示例)
  • MYSQL(三)--服务器启动参数与配置
  • 群晖NAS如何在虚拟机创建飞牛NAS
  • ABP VNext 在 Kubernetes 中的零停机蓝绿发布
  • Abaqus载荷与边界条件(Load BC)
  • 将 Jupyter Notebook 的默认存储路径从 C 盘迁移到 D 盘,可以通过以下步骤实现:
  • 【教学类】20250605立体纸盘(3边形-22边形,角度5、10……40,45)
  • TikTok养号指南:从0到1打造防限流账号的实战策略
  • 【西门子杯工业嵌入式-1-基本环境与空白模板】
  • 瞄准企业级智能体,艺赛旗加速业务出海重塑数智生产力
  • 【LeetCode】1061. 按字典序排列最小的等效字符串(并查集)
  • 如何给windos11 扩大C盘容量
  • CICD实战(二)-----gitlab的安装与配置
  • 热门消息中间件汇总
  • 【计算机网络】五种IO模型——非阻塞IO
  • 使用SSH tunnel访问内网的MySQL
  • 工厂模式 + 模板方法模式 + 策略模式的适用场景
  • 消息的幂等性
  • 【笔记】MSYS2 的 MINGW64 环境 全面工具链
  • 3DEXPERIENCE参考属性和实例属性的获取
  • VUE混合开发用哪个PHP框架好?