当前位置: 首页 > news >正文

XSS (Reflected)-反射型XSS

news 来源:原创 2025/6/14 6:43:16

📍 路径

访问:

http://localhost:8080/vulnerabilities/xss_r/

你会看到一个简单的表单,只有一个输入框,提示类似:

What’s your name?

🧪 Step 1:输入测试 Payload

在输入框里输入:

<script>alert('XSS')</script>

然后点击 Submit。

✅ 预期效果:
页面会刷新,同时浏览器会弹出一个提示框,显示内容为 XSS。
在这里插入图片描述

在这里插入图片描述

🔁 Step 2:确认漏洞是“反射型”

反射型 XSS 的特征是——你注入的脚本被立即反射回页面,例如你访问:

http://localhost:8080/vulnerabilities/xss_r/?name=<script>alert('XSS')</script>

你会发现你的输入直接出现在页面上,说明页面未做过滤/编码处理。
在这里插入图片描述

💡 Step 3:尝试其他 Payload

有些浏览器或安全等级会拦截

图片 onerror:

<img src=x onerror=alert('XSS')>

在这里插入图片描述

SVG onload:

<svg/onload=alert('XSS')>

在这里插入图片描述

JS URL 方案(有时配合链接):

<a href="javascript:alert('XSS')">Click me</a>

在这里插入图片描述

相关文章:

  • 【图像恢复算法】 ESRGAN Real-ESRGAN的配置和应用
  • 【Pytorch】(1)Pytorch环境安装-①创建虚拟环境
  • Spring AI Chat Memory 指南
  • transformer demo
  • 东土科技参与国家重点研发计划 ,共同研发工业智控创新技术
  • 【Linux】进程创建、终止、等待、替换
  • 《单光子成像》第四章 预习2025.6.13
  • Vue里面的映射方法
  • python+django/flask厨房达人美食分享系统
  • 英语—四级CET4考试—规律篇—从历年真题中找规律—仔细阅读题—汇总
  • 秘籍分享:如何让ZIP下载的源码拥有Git“身份证”
  • Kubernetes安全机制深度解析(三):准入控制器
  • Cilium动手实验室: 精通之旅---26.Cilium Host Firewall
  • ffmpeg覆盖区域
  • 准确--使用 ThinBackup 插件执行备份和恢复
  • 泰国草药保健电商平台开发|泰式草药知识科普 + 跨境直邮,聚焦健康养生
  • codeforces 274D. Lovely Matrix
  • 【RAG+读代码】学术文档解析工具Nougat
  • ReentrantLock和RLock
  • 图数据库如何构筑 Web3 风控防线 | 聚焦批量注册与链上盗转
  • 保定网站建设技术支持/营销推广手段有什么
  • 科技局网站查新怎么做/营销战略包括哪些方面
  • 网站建设网站备案所需资料/苏州seo公司
  • 名师工作室建设网站/新河seo怎么做整站排名
  • php 企业网站cms/百度代运营公司
  • 怎么做本地化网站/搜索引擎最佳化