XSS漏洞详解以及绕过方式。

下列以dvwa靶场为例:

反射性XSS:

LOW级别

XSS漏洞详解以及绕过方式。_第1张图片

最基本的原理,就是前端对输入的内容过滤不严谨,是的输入的元素再html框架中得以运行。

medium级别

可能过滤了js标签,我们使用input标签,

当input失去焦点时会触发

XSS漏洞详解以及绕过方式。_第2张图片

当input获取焦点(点击输入)时触发

都可以

confirm

  当input获取焦点(点击输入)时触发(选择性弹框)

XSS漏洞详解以及绕过方式。_第3张图片

这两种姿势再High中也同样适用。

直接提到high用于测试。


通过执行auto属性执行本身的focus事件

注意使用的是反引号包裹

img标签原理:插入一个没有的图片,当浏览器找不到图片时,自动执行后边的代码。


当鼠标在图片上时触发


点击图片触发

点击下拉选项时触发

通过open属性自动触发

点击下拉选项时触发

你可能感兴趣的:(xss,web安全,安全)