dvwa javascript attacks
时间: 2023-09-11 08:08:22 浏览: 109
DVWA是一个用于演示和测试Web应用程序漏洞的虚拟环境。其中包括了一些关于JavaScript攻击的漏洞。通过分析引用材料,我们可以了解到DVWA中的一个JavaScript攻击漏洞是在medium.php文件中。该文件中嵌入了medium.js的脚本,其中包含了一些可利用的漏洞。
在medium.js脚本中,有一个do_something函数和一个do_elsesomething函数。其中,do_something函数将传入的参数倒序返回,而do_elsesomething函数则会将参数与页面上的某些元素值拼接后设置为另一个元素的值。
该漏洞的攻击步骤如下:
1. 页面加载时,会调用setTimeout函数,该函数会在300毫秒后执行do_elsesomething函数。
2. do_elsesomething函数会将参数与页面上id为"phrase"的元素值以及固定的"XX"拼接后,设置id为"token"的元素的值。
3. 由于没有对传入参数进行过滤和验证,攻击者可以通过构造恶意参数来实现XSS攻击或其他攻击。
这就是DVWA中的JavaScript攻击漏洞的基本情况。<span class="em">1</span><span class="em">2</span><span class="em">3</span>
#### 引用[.reference_title]
- *1* [DVWA 通关笔记:JavaScript Attacks](https://blog.csdn.net/Sheng_GuoFu/article/details/128651797)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"]
- *2* *3* [DVWA关卡13:JavaScript Attacks(前端攻击)](https://blog.csdn.net/m0_54899775/article/details/121895446)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"]
[ .reference_list ]
阅读全文