DVWA靶场XSS毛病通关教程及源码审计

XSS毛病

XSS（跨站脚本攻击，Cross-Site  Scripting）是一种安全毛病，通常发生在Web应用程序中。XSS毛病允许攻击者把恶意脚本注入到内容中,  这会在其他用户的浏览器中执行。这种攻击大概导致用户会话被劫持、网站内容被修改、用户敏感信息被窃取等多种安全问题。常见的XSS类型包罗：

• 存储型XSS：恶意脚本被存储在目标服务器上，比如在数据库中。比如当用户在一个留言板上输入代码，代码被存储下来了，访问该页面的其他用户就会受到影响。
  
• 反射型XSS：恶意脚本通过URL等手段被“反射”到用户的浏览器中，常在带有查询参数的链接中实行。用户点击恶意链接时，会立刻执行该脚本。
  
• DOM型XSS：基于文档对象模子（DOM）的变化，在客户端执行的XSS。DOM型XSS攻击不会涉及到服务器端内容改变。
  

防御XSS攻击的方法包罗：

• 对用户输入举行严格的验证和过滤。
  
• 对输出举行编码，确保浏览器不能将其错误地解释为可执行代码。
  
• 利用安全的HTTP头，如Content Security Policy（CSP）。
  

DOM型XSS

low

直接尝试

源码审计

没有任何过滤环境
[code][/code]medium


查看源码发现过滤掉了<strong>“