pikachu靶场之XSS学习笔记_pikachu 靶场完成 xss 攻击实验实验心得总结200字

XSS漏洞一直被评估为web漏洞中危害较大的漏洞，在OWASP TOP10的排名中一直属于前三的江湖地位。
XSS是一种发生在前端浏览器端的漏洞，所以其危害的对象也是前端用户。
形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理，导致“精心构造”的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害。
因此在XSS漏洞的防范上，一般会采用“对输入进行过滤”和“输出进行转义”的方式进行处理:
  输入过滤：对输入进行过滤，不允许可能导致XSS攻击的字符输入;
  输出转义：根据输出点的位置对输出到前端的内容进行适当转义;

今天我们要利用皮卡丘靶机进行Xss相关的学习

 本文为学习笔记，仅供学习！！

反射型XSS(get)

反射型大家应该比较熟悉了，一般处在于搜索框等页面跳转的地方，且不能长久的存在、必须使用特定的url才能使被攻击者中招，反射型分为get和post两种。而get是以url方式提交数据，且更容易被利用。

尝试输入<script>alert(‘xss’)</script>

发现只能输入一半，应该是被限制输入了，鼠标点击对话框右击后点检查修改输入长度。

设置合适的长度，再次输入。

成功。

反射型XSS(post)