当前位置: 首页 > news >正文

dvwa11——XSS(Reflected)

news 来源:原创 2025/6/19 10:48:26

LOW

分析源码:无过滤

和上一关一样,这一关在输入框内输入,成功回显

<script>alert('relee');</script>

MEDIUM

分析源码,是把<script>替换成了空格,但没有禁用大写

改大写即可,注意函数大小写不要变

<SCRIPT>alert('RELEE');</SCRIPT>

回显成功 

HIGH

分析源码,用preg_replace()函数过滤掉了<script>大小写所有形式

那就用img绕过

<img src=x onerror="alert('relee')">

回显成功 

IMPOSSIBLE

查看源码:

优化:

  1. token验证
  2. htmlspecialchars()函数:把特殊字符转化成html实体(一种特殊编码格式),彻底阻断了xss,例如:将<script>转换为&lt;script&gt;,使浏览器不解析为HTML标签

❀❀❀ 完结撒花!!❀❀❀

相关文章:

  • 【Maniskill】使用Ppo的官方基线训练时出现指标突然“塌陷”的现象
  • CSP-VP37th
  • ML Kit与YOLO:移动AI与实时检测终极对决
  • 前缀和题目:逐步求和得到正数的最小值
  • 打造智慧医疗枢纽,香港维尔利引领东南亚健康科技升级
  • 【Docker管理工具】部署Docker可视化管理面板Dpanel
  • LoRA:大模型高效微调的低秩之道——原理解析与技术实现
  • 【实施指南】Android客户端HTTPS双向认证实施指南
  • 摄像机ISP处理流程
  • 【华为云Astro-服务编排】服务编排使用全攻略
  • NLP学习路线图(二十六):自注意力机制
  • NC | 基于语言模型的药物设计新方法
  • Spring @Scheduled vs XXL-JOB vs DolphinScheduler vs Airflow:任务调度框架全景对比
  • 网页抓取混淆与嵌套数据处理流程
  • 检测到 #include 错误。请更新 includePath。已为此翻译单元(D:\软件\vscode\test.c)禁用波形曲线
  • BLOB 是用来存“二进制大文件”的字段类型
  • QMetaObject::invokeMethod调用失败
  • 基于rpc框架Dubbo实现的微服务转发实战
  • 【基础】每天掌握一个 Linux 命令:grep
  • ICLR文章如何寻找页码
  • 网站建设的步骤过程/现代网络营销的方式
  • 网站开发与管理课程设计心得/惠州百度seo
  • 专业营销网站建设/百度下载免费
  • 彩妆网站建设策划书/小程序开发制作
  • 公司网站里面页面链接怎么做/电商培训心得
  • 做的网站打开显示无标题/外链发布工具下载