XSS漏洞攻防（反射型、储存型、DOM型实战）

        XSS也叫做跨站脚本攻击，是一种发生在前端浏览器端的漏洞，当用户浏览该页面的时候，那么嵌入到web页面的script代码会执行，因此会到达恶意攻击用户的目的，XSS攻击一般是利用开发者遗留下来的漏洞进行攻击。如通过提交表单的方式，将对于浏览器而言，它认为这段脚本是来自可以信任的服务器的，所以脚本可以光明正大地访问Cookie，或者保存在浏览器里被当前网站所用的敏感信息，甚至可以知道用户电脑安装了哪些软件。这些脚本还可以改写HTML页面，进行钓鱼攻击。恶意代码发送至服务器执行或使指定内容被返回，亦或者是将恶意代码保存至数据库中，每当该内容被读取都会执行该段代码从而达到更大范围杀伤力。在网站是否存在XSS漏洞时，应该输入一些标签，如<，>输入后查看网页源代码是否过滤标签，如果没有过滤，很大可能存在XSS漏洞。

反射型、储存型、DOM型实战

反射型

我们使用Dvwa的XSS反射型完成

注入代码

切换至Medium难度

注入代码

 

储存型：

首先注入代码进行实验，

发现提交后出现弹窗，查看页面源码进行分析

注入代码

 

 

 DOM

将English修改为即可