程序员经验分享-hwhale

DVWA - XSS DOM (low)

2023-11-07

low级别

XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据恶意代码是否存储在服务器中,XSS可以分为存储型的XSS与反射型的XSS。DOM型的XSS由于其特殊性,常常被分为第三种,这是一种基于DOM树的XSS。

可能触发DOM型XSS的属性:document.referer 属性window.name 属性location 属性innerHTML 属性documen.write 属性

1.查看源代码在这里插入图片描述
可以看到,前端使用 document.write() 动态生成页面,服务器端代码没有任何的保护性措施

2.这段JS代码是在本地执行的,获取本地输入的URL栏上的default参数再直接嵌入到Option标签中的,因此可以直接往default参数注入xss payload

http://127.0.0.1
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

DVWA

DVWA - XSS DOM (low) 的相关文章

  • tomcat如何进行优化?

    对于tomcat的调优 可以从两个方面来进行调整 内存和线程 1 首先启动tomcat 实际上就是启动了一个jvm 所以可以jvm调优的方式来进行调整 从而达到tomcat调优的目的 另外tomcat中设计了一些缓存区 比如aappRead

随机推荐

  • npm link用法总结

    npm link用法总结 npm link用来在本地项目和本地npm模块之间建立连接 可以在本地进行模块测试 具体用法 1 项目和模块在同一个目录下 可以使用相对路径 npm link module 2 项目和模块不在同一个目录下 cd到模

  • Android 01:AutoCompleteTextView-简单实现实现自动输入文本效果

    在Android中 可以使用控件AutoCompleteTextView实现自动输入的文本功能 当用户输入一个字符 能够根据其字符提示显示出与之相关的数据 举大家一个熟悉的例子 当我们在百度中输入关键字 android 在列表中会出现相关的

  • C++程序分多文件编写

    为了让一个项目的结构更加清晰 需要学习函数的分文件编写 一般是4个步骤 创建后缀名为 h的头文件 创建后缀名为 cpp的源文件 在头文件中写函数的声明 在源文件中写函数的定义 主函数所在的源文件 要包含必要的头文件和这句using name

  • 测试用例逻辑梳理

    拿到一个页面怎么测 先看页面的整体布局 包括的内容是什么 页面之间的交互逻辑 按照总 分 总的逻辑测试 总 即总体概括页面的整体布局 包含的内容是什么 分 即是分模块对页面进行描述 页面包括的配置项是什么 输入框 搜索框 下拉框 分页 是否

  • 添加TAP虚拟网卡

    方法一 1 如果需要不同的Mac地址 可以添加虚拟网卡TAP 2 先安装uml utilities sudo apt get install uml utilities 3 使用tunctl添加虚拟网卡 sudo tunctl b 4 激活

  • stm32 web服务器实现

    最在做stm32 web服务器的东西 忙了一段时间终于弄完了 把这几天关于stm32服务器的工作记录一下 刚接到这个任务的时候 不知道怎么下手 网上资料似乎不是很多 于是在下载了一个官方demo测试了一下 看了一下代码 不是很懂 于是继续百

  • AWS EC2入门指南中创建和配置云虚拟机实例的基本步骤

    文章目录 创建 AWS 账户 登录 AWS 控制台 导航到 EC2 控制台 启动 EC2 实例 选择 AMI Amazon Machine Image 选择实例类型 配置实例 添加存储 审查和启动实例 创建密钥对 连接到 EC2 实例 管理

  • Python中的Lambda函数:简洁而强大的匿名函数

    引言 Python是一种功能强大且易于学习的编程语言 它提供了许多方便的语法和功能 以简化代码的编写和理解 其中之一就是Lambda函数 Lambda函数是Python中的一种匿名函数 它使得在需要函数对象的任何地方都能使用函数表达式 本文

  • 嵌入式系统开发项目管理

    项目生命周期五大阶段 1 项目启动阶段 1 项目可行性分析 一个成功的产品 应该从以下3个方面来观察评估 设计产品 商业行为 产品设计前 要做好市场调查和评估 要考虑产品的时效性 市场需求和技术可行性 产品设计结束后要写下详细的产品规格 技

  • L2TP详解(一)

    今天继续给大家介绍HCIE安全 本文给大家介绍的是L2TP相关内容 包括L2TP的特点和应用场景 一 L2TP简介 L2TP是一种二层的VPN技术 它提供了对PPP链路层数据帧的隧道传输支持 允许二层链路端点和PPP会话驻留在不同设备上 扩

  • 论文笔记:Constructing spatiotemporal speed contour diagrams: usingrectangular or non-rectangular paralle

    Constructing spatiotemporal speed contour diagrams using rectangular or non rectangular parallelogram cells 2019 Transpo

  • c++求模运算的应用

    在 C C 中 符号为求模运算符 即 a b 表示 a 除以 b 的余数 周期问题 我们在奥数中经常遇到这样的问题 给你一串数字 4 5 6 4 5 6 4 5 6 求这里的第 1000 个数字是几 我们发现这是一个周期数列 周期为 3 a

  • 华为OD机试真题 Java 实现【获取字符串中连续出现次数第k多的字母的次数】【2023Q1 100分】,附详细解题思路

    一 题目描述 给定一个字符串 只包含大写字母 求在包含同一字母的子串中 长度第 k 长的子串的长度 相同字母只取最长的那个子串 二 输入描述 第一行有一个子串 1 lt 长度 lt 100 只包含大写字母 第二行为 k的值 三 输出描述 输

  • 六款常用的linux C/C++ IDE

    摘要 一 AnjutaAnjuta是一个多语言的IDE 它最大的特色是灵活 同时打开多个文件 内嵌代码级的调试器 调用gdb 应用程序向导 Application wizards 可以方便的帮助你创建GNOME程序而不需要你自己写一些与你兴

  • 迁移MongoDB数据库及数据(MongoDB数据库的备份与恢复)

    备份 在有数据的地方使用mongodump h connection d 数据库名 o 保存的文件夹 比如 mongodump h 127 0 0 1 27017 d my db o my back dir 恢复 在想要覆盖的地方使用mon

  • windows环境中使用goland构建linux二进制文件并运行

    大家都知道 go语言可打包成目标平台二进制文件是它的一大优势 如此一来 go项目在服务器不需要配置go环境和依赖就可以运行 操作方式 需求 在windows环境中打包部署golang项目到Centos 7 运行 打包环境 windows 1

  • makefile常用编译选项

    我们习惯创建一个环境变量文件Inc mk来定义常用的变量 CC gcc CXX g std c 11 AR ar ARFLAGS scurv RANLIB ranlib CFLAGS CXXFLAGS INCLUDE LDFLAGS CFL

  • Datagrip如何访问集成Kerberos协议的Hive数据库

    Datagrip如何访问集成Kerberos协议的Hive数据库 简介 环境说明 kerberos秘钥 Datagrip配置 环境变量 安全服务文件 参考连接 简介 背景说明 hive数据库默认不需要配置用户名密码 基于 Datagrip

  • Paper writting accumulation

    Abstract last Our extensive experiments on multiple benchmark datasets demonstrate the superiority of compared to a numb

  • DVWA - XSS DOM (low)

    low级别 XSS 全称Cross Site Scripting 即跨站脚本攻击 某种意义上也是一种注入攻击 是指攻击者在页面中注入恶意的脚本代码 当受害者访问该页面时 恶意代码会在其浏览器上执行 需要强调的是 XSS不仅仅限于JavaSc

热门标签