3回答
在DVWA中,我试图理解与通常的alert('XSS');场景不同的攻击方法。var sub = document.getElementsByTagName('input')[1].click();
这段代码基本上将页面切换到存储的xss页面并输
浏览 0提问于2016-09-02得票数 3
1回答
代码如下:
var u = ["http://127.0.0.1/DVWA-1.0.8/vulnerabilities/xss_r/?name=<SCRIPT>alert('XSS');</SCRIPT>", "http://127.0.0.1/DVWA-1.0.8&#
浏览 0提问于2014-11-09得票数 1
1回答
我已经安装了一个带有php模块的本地apache服务器,我在我的localmachinne中部署了一个dvwa。我正在学习XSS(DOM)类型的攻击。我在dvwa.When中设置了低级别的安全性,我在url中添加了<script>alert()</script>,我得到了一个警报。http://localhost/dvwa/vulnerabilities/xss_d/?http://local
浏览 0提问于2020-01-19得票数 0
回答已采纳
利用DVWA's存储的XSS选项,我使用以下有效负载:<iframe src="url">。
我想知道为什么有些网站工作,但另一些不使用这个有效载荷。
浏览 0提问于2013-06-26得票数 6
回答已采纳
</p>el = driver.find_element_by_name('security')
for option in el.find_elements_by_tag_namedriver.find_element_by_xpat
浏览 0提问于2014-05-13得票数 1
2回答
高水平CSRF
、、
我一直在做一些dvwa (该死的脆弱的web应用程序),我有一个关于CSRF的问题。
还有一个额外的参数,csrf令牌,它在get请求中提交。我在网上看到的所有答案都使用xss来触发密码更改。基本上,我所做的是在攻击者网站上创建一个php脚本,该脚本请求dvwa页面,收集发送给攻击者页面的user_token,然后使用该令牌进一步提交密码new_password和user_token。
浏览 0提问于2018-11-08得票数 -1
3回答
我目前正在开发一个用于自动测试web应用程序的应用程序,即我尝试将恶意输入(sqli或xss)注入到web应用程序的输入字段中。问题是,我当然不被允许测试真实世界的应用程序。我也测试了像DVWA,BodgeIt等,但这不是我正在搜索的。
浏览 1提问于2014-01-16得票数 0
最近,我遇到了一个据报道的XSS,其中攻击者是Unicode在HTTP参数中编码有效载荷,以避开现有的XSS过滤器-我的问题是-服务器/应用程序何时将Unicode转换为纯文本?我有一些用于测试的易受攻击的php webapp(部署在WAMP服务器中的DVWA),它们很容易受到非常简单的XSS攻击向量(如<script>alert(1)</script> )的攻击。我尝试用它们的Unicode等价物替换几个字符,但是编码的字符串不调用XSS!
浏览 0提问于2017-03-22得票数 6
2回答
XSS有没有留下一些痕迹?
我将尝试在我的Ubuntu上建立一个小服务器,用一堆网站来测试一些东西。我在哪里可以在操作系统或服务器中找到证据?
浏览 0提问于2018-03-15得票数 12
1回答
我正在研究关于DVWA的文件上传高漏洞。我想绕过过滤器,它只允许上传像jpg或png这样的图像。因此,我计划将有效载荷<?=phpinfo();嵌入到图像文件中。在搜索之后,我发现了一些很棒的博客:
<SCRIPT SRC=//ABC.DE></SCRIPT>
我想完成DVWA</
浏览 0提问于2018-03-07得票数 3
回答已采纳
然后,我安装了XAMPP,以便在其中使用DVWA application。我完成了使DVWA请求通过WAF并使用VirtualHosts到达应用程序的过程。现在一切都很好。项目涉及对WAF进行恶意攻击的测试,它适用于大多数攻击,ModSecurity检测和阻止SQL注入、XSS、FLI、RFI等,但是当我测试DDoS攻击时,它会检测到它作为扫描攻击,我不知道为什么(然后它阻止了攻击我用DDoS和Hydra测试了WFuzz攻击,试图在DVWA的特定页面中猜测管理员的密码。SecLists/Passwords
浏览 17提问于2022-04-13得票数 0
回答已采纳
1回答
我试图使用以下命令存储两个变量user_token和PHPSESSID:PHPSESSID=$(curl -c "http://127.0.0.1/DVWA-master/login.php&q
浏览 0提问于2021-11-15得票数 0
3回答
我已经阅读了关于预防XSS的OWASP指南。该指南似乎只涉及拥有白名单和编码输出。然而,这留下了一个所谓的自由文本字段的问题,例如我为写这篇文章而写的文本框。从OWASP指南中我得到的印象是,应该只允许xss存储在数据库中,并在将其显示到前端时对其进行清理。然而,我对此感到有点不舒服。或者是我搞错了,有没有更好的方法?
浏览 3提问于2011-09-30得票数 1
回答已采纳
requestsresponse = requests.post('http://127.0.0.1/dvwa:import requests
response = requests.get("http://127.0.0.1/<e
浏览 2提问于2016-10-27得票数 0
我知道如何通过MIME嗅探来利用XSS,但问题是,您是将这种类型的XSS存储还是反射呢?存储的攻击是将注入的脚本永久存储在目标服务器上的攻击。然后,当服务器请求存储的信息时,受害者将从服务器检索恶意脚本。对于这种类型的XSS,我有点困惑。这使它成为存储的XSS吗?
浏览 0提问于2018-09-25得票数 1
回答已采纳
我在web应用程序上尝试过一些XSS漏洞,如web98、OWASP、bWAPP。我想知道apache日志文件中跨站点脚本攻击的特性/关键字/足迹,从这些足迹中可以确定XSS攻击已经执行。我知道所有类型的XSS攻击都无法通过日志文件检测到。但是,我希望将任何可能的XSS类型的特性存储到日志文件中。下面我给出了几个存储在日志文件中的脚印示例,1) <script>3) <iframe>
这些特
浏览 0提问于2018-12-27得票数 1
1回答
XSS的名字来自哪里?为什么是“跨网站”?此外,“网络应用程序黑客手册”(‘says )一书指出,在谈论“存储XSS”或二级XSS攻击时,XSS这个名称是一个错误的名称。为什么?
浏览 0提问于2014-11-19得票数 3
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
