实验环境

功能 属性
操作机 window xp
IP 192.168.0.3
目标机 window 2003
IP 192.168.0.2

实验工具

火狐浏览器:是一款非常稳定,非常流行的Internet浏览器

文件上传 关卡需要使用菜刀 暴力破解 关卡需要使用bp

设计者 : 匿名 难度 : 初级

1. 漏洞介绍

反射型XSS又称为非持久性跨站点脚本攻击。漏洞产生的原因是攻击者注入的数据反映在响应中。非持久型XSS攻击要求用户访问一个被攻击者篡改后的链接,用户访问该链接时,被植入的攻击脚本被用户浏览器执行,从而达到攻击目的。

2.实验内容

登陆dvwa界面账户:admin 密码:password

 进入环境后,选择左下角DVWA Security,选择low级别,提交。 

3.查看源码

4.分析代码

可以看到,low级别的代码只是判断了name参数是否为空,如果不为空的话就直接打印出来,并没有对name参数做任何的过滤和检查,存在非常明显的XSS漏洞

5.攻击演示

构造攻击语句

我们输入 <script>alert('XSS')</script> 直接就执行了我们的 js 代码

查看源代码可以看到,我们的js代码已经被插入到页面中了