DVWA——XSS解题过程

DVWA--XSS解题过程

XSS****概念：通常指黑客通过HTML注入纂改了网页，插入恶意脚本，从而在用户浏览网页时，控制用户浏览器的一种攻击。

XSS****有三种：

反射型xss：只是简单地把用户输入的数据反射给浏览器，简单来说，黑客往往需要用户诱使用户点击一个恶意链接，才能攻击成功。

存储型XSS：将用户输入的数据存储在服务器端。

DOM　XSS：通过修改页面的DOM节点形成的XSS。

反射型xss

LOW****等级：

先利用alert测试是否存在xss

image

image

出现弹窗，说明存在xss。

编写PHP文档获取页面的cookie：

编写js代码将页面的cookie发送到cookie.php中

image

这里的js代码要用url编码

image

页面跳转，说明js执行成功

image

接下来查看phpstudy中www目录下是否出现cookie.txt

image

image

成功拿到cookie

利用得到的cookie登陆DVWA的首页：

image

image

image

成功登陆

Medium****等级：

同样，先利用alert进行弹窗测试

image

发现页面没有反应，有可能是