【工具-DVWA】DVWA渗透系列十:XSS(DOM)

前言

DVWA安装使用介绍,见:【工具-DVWA】DVWA的安装和使用

本渗透系列包含最新DVWA的14个渗透测试样例:

1.Brute Force(暴力破解)                    
2.Command Injection(命令注入)
3.CSRF(跨站请求伪造)                        
4.File Inclusion(文件包含)
5.File Upload(文件上传)                    
6.Insecure CAPTCHA(不安全的验证码)
7.SQL Injection(SQL注入)                    
8.SQL Injection(Blind)(SQL盲注)
9.Weak Session IDs(有问题的会话ID)                
10.XSS(DOM)(DOM型xss)
11.XSS(ref)(反射型xss)                    
12.XSS(Stored)(存储型xss)
13.CSP Bypass(Content Security Policy内容安全策略,旁路/绕过)    
14.JavaScript​​​​​​​

安全级别分低、中、高、安全四个级别来分析XSS(DOM)的渗透测试过程。

【工具-DVWA】DVWA渗透系列十:XSS(DOM)_第1张图片

1 基础知识

  • XSS

Cross Site Scripting,一种将恶意代码注入到页面的攻击手段,当用户访问页面时,恶意代码会被执行。

  • DOM

文档对象模型(Document Object Model),是W3C组织推荐的处理可扩展置标语言的标准编程接口。也就是一种可以被页面解释执行的代码。

  • 常用注入代码