数据库应用与安全管理实训 存储型XSS 3
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实训存储型XSS 3
一、实训目的
1. 了解XSS不同类型的异同
2. 掌握存储型XSS的利用
二、实训环境
1. DVWA平台
2. Firefox浏览器(谷歌浏览器)
三、实训内容
1. 配置DVWA平台
进入DVWA平台,选择DVWA Security,将安全级别设置为High。
2. 存储型XSS漏洞挖掘
(1)点击XSS(Stored),进入测试页面。
(2)选择“View Source”查看源程序,对message参数进行html转义外,还对name参数使用preg_replace()函数进行替换,不能使用常用的绕过方法。
(3)使用标签,如<img>、<body>等提供的方法进行XSS脚本的注入。
•<img> 标签弹窗
•<img> 标签获得Cookie
•<body> 标签弹窗
•<body> 标签获取cookie
3. 将操作过程截图,整理文档后上传平台。