初始web for pentester(靶场)之XSS

昨天由于刚接触web安全,不了解靶场相关知识,加上网站上关于web for pentester有关视频资料少之又少,多数是DVWA的,昨天就初步探究一下DVWA,今天看了下《白帽子讲web安全》这本书,详细了解了xss相关知识。ps:小白还是推荐先看书,不要先看百度相关论坛知识点的帖子和他人相关视频,从书本开始好一点。

example1
首先xss实验example1是一个过滤性能很低反射型xss的实验,打开后在url中name后边修改传参值可以更改页面中的显示值,也可输入script相关代码如alert弹窗,如:http://192.168.184.128/xss/example1.php?name=

这个是自己写的有关原理类似的小例子
1.测试反射型xss
在test.php中写如下一段文字

".$input."
"; ?>

放入服务器中,url地址写入http://127.0.0.1/test/test.php?param=hello%20word,则屏幕显示为hello word
如果url写入http://127.0.0.1/test/test.php?param=%3Cscript%3Ealert(/xss/)%3C/script%3E
则弹窗/xss/

example2
第二个例子对于script标签进行了过滤,但是没有对大小写过滤

example3
第三个例子如果写2层script嵌套则不敏感,如:name=

你可能感兴趣的:(初始web for pentester(靶场)之XSS)