dvwa学习之 JavaScript Attacks（前段攻击）

做完这个项目感觉就是破解密码，总结一句话：寻找前段token加密的方法，然后自己写相关加密过程，得到最终的token值，然后利用burpsuite填写token就OK了。（这是学习总结，实验博客在这里：https://blog.csdn.net/qqchaozai/article/details/102756976）

low级：f12后，看见token值加密是使用MD5，下载页面，在生成token函数添加alert(MD5(rot13("success")));这样直接弹出token值。

medium级：f12后，参考文章写是是使用路径访问，但是如果使用火狐浏览器，在调试器可以直接看见使用js文件加密。还是可以将破解代码写在页面上。function do_something(e){for(var t="",n=e.length-1;n>=0;n--)t+=e[n];return t}      alert(do_something("XX"+'success'+"XX"))。重要的就是这一句。然后是burpsuite填写相关的token值。

high级：f12后，在调试器中看见加密的js代码所以需要http://deobfuscatejavascript.com/# 解密加密的js代码，接下来参考实验博客编写破解代码。

不可能级别：你改任你改，反正不信任你。

接下是课外知识：暂时没有。