实验环境

功能 属性
操作机 window xp
IP 192.168.0.3
目标机 window 2003
IP 192.168.0.2

实验工具

火狐浏览器:是一款非常稳定,非常流行的Internet浏览器

文件上传 关卡需要使用菜刀 暴力破解 关卡需要使用bp

设计者 : 匿名 难度 : 初级

1. 漏洞介绍

存储型XSS是指应用程序直接将攻击者提交的具有恶意代码存储到后台,在显示数据页面被访问时恶意脚本在浏览器因html注入导致页面执行恶意代码从而被攻击者控制浏览器

2.实验内容

登陆dvwa界面账户:admin 密码:password

 进入环境后,选择左下角DVWA Security,选择low级别,提交。  

3.查看源码

4.分析代码

应用程序直接将提交数据进行SQL特殊字符进行转义后存储到数据库,后续显示数据时未对数据做转义操作,可直接使用提交数据包含xss payload进行攻击

5.攻击演示

构造payload

<script>alert(/xss/)</script>

提交

<script>alert(document.cookie)</script>

提交获取cookie值