一、什么是XSS reflect
XSS反射型攻击,恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的。
二、DVWA 实战
1、low难度
没有进行任何过滤,那么直接写js代码
<script>alert('hack')</script>
2、medium 难度
直接输入 被过滤掉了。
使用大小写即可绕过,
<sCript>alert('hack')</Script>
3、high 难度
script标签被过滤了。改用img标签,即可绕过。
<img src=1 onerror=alert('hack')>
