dvwa,中等难度xss

学了一段时间，感觉会了很多，但又觉得自己学的很虚浮，决定沉下心来，写点博客。

先看题目

 

 简单提交一下<script>alert(1)</script>,返回页面是这个样子。

查看页面源代码发现只显示了alert(1)</script>

 

 

 开始没什么想法，决定再写几个script试试，发现alert前的<script>都会消失，我开始怀疑是对alert前面的代码进行检测，但测试后发现其实只要是<script>都会消失。猜测只是替换<script>,简单进行一下测试，使用大小写混合，就绕过了。成功反弹

 

 

现在查看一下源代码。判断自己是否判断正确。

 

str_replace把<script>替换成空，猜测正确。

 

 

存储型xss

 

提交后的界面

 

 查看一下源代码

 

可以发现相关的<script></script>的都消失了

大胆猜测和上一个的情况一样测试一下。没用

 

 看来是对传值，进行了小写处理，看看双写行不行。额，经过简单测试，发现不少标签我都没用成。裂开,试了半天，没想出来，看看代码。

 

 strip_tags可以去除xml，php，html的标签，还有实体化转义，我直接裂开，但是可以看出name的过滤不是很严格。使用f12，修改maxlength。成功弹窗。

我的方法不唯一，只是寻找思路。查看自身。可以看出，自己还是需要多多学习，