DVWA靶场CSP Bypass (毛病绕过) 毛病通关及源码审计
CSP BypassCSP Bypass(Content Security Policy Bypass)毛病涉及的是绕过网站部署的内容安全策略(ContentSecurity Policy,CSP)限定,从而执行潜在的恶意利用。CSP是一种安全机制,用于防止跨站脚本(XSS)、数据注入攻击等。其通过限定网页能够加载和执行的内容来源来加强浏览器的安全性。
low
查看源码可以发现被信任的网站有https://pastebin.com、hastebin.com、www.toptal.com、example.com、code.jquery.com、https://ssl.google-analytics.com
打开https://pastebin.com,输入“alert(xss);”
https://track123.oss-cn-beijing.aliyuncs.com/20250102145621206.png
然后点击“Create New Paste”就可以得到下一步
https://track123.oss-cn-beijing.aliyuncs.com/20250102145656471.png
点击“raw”,复制得到的网址。
https://track123.oss-cn-beijing.aliyuncs.com/20250102145714690.png
然后输入到输入框即可
https://track123.oss-cn-beijing.aliyuncs.com/20250102145536524.png
源码审计
只允许来自https://pastebin.comexample.com code.jquery.com https://ssl.google-analytics.com 这几个网站的js脚本
页:
[1]