上一篇介绍了我们安装BWAPP来完成我们的漏洞测试
在BWAPP中,将HTML Injection和XSS做了非常详细的分类,那么为什么要将两个一起讲呢?归根结底,我觉得这两个分明是一个玩意,充其量是攻击的方式不一样。
我们先来介绍一下这两种漏洞的原理,简单说:当用户在输入框输入内容,后台对输入内容不做处理直接添加入页面的时候,用户就可以刻意填写HTML、JavaScript脚本来作为文本输入,这样这个页面就会出现一些用户加入的东西了。这是一种脚本注入(和CSDN发布文章时候的填写源码应该是类似的,CSDN填写源码时候可以搞些链接,假设这些链接链到恶意网站,甚至不写链接直接Script脚本?这样是不是很恐怖?)
![](https://img-blog.csdn.net/20180228111446321?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvcXFfMjgyNDExNDk=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center)
看这个例子,下一行文字会把输入的xs打出来,那么假如我填写的是一个连接?
![](https://img-blog.csdn.net/20180228111608007?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvcXFfMjgyNDExNDk=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center)