1diot9's Blog
WebGoat靶场-XSS
1diot9 Lv4
  2025-08-02 21:53:52   2025-08-02 21:55:06    502 字  2 分钟  

反射型&DOM

第一题

没什么好说的,点一下按钮就行,只是让你初步认识一下控制台及script脚本的作用。

第二题

就最下面倒数第二个框可以注入,然后注入方式只有两种,alert和console.log,从源码可以看出来:

img

注入方法是写死的,必须满足题目设置。

第三题

这里考察DOM型XSS。

首先看一下webgoat靶场中URL的特点

http://localhost:8085/WebGoat/start.mvc#lesson/CrossSiteScripting.lesson/9

发现由#分割为两个部分。#后面的内容,是由前端处理的,也就是由script进行页面的切换。

下面的内容涉及到js,我不太会,先贴别人的贴子了:

https://drun1baby.top/2022/05/05/WebGoat%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1-07-XSS/#2-XSS-PageLesson10-DOM-%E5%9E%8B-XSS-%E5%88%A9%E7%94%A8%E6%B5%8B%E8%AF%95%E7%9A%84%E4%BB%A3%E7%A0%81%E8%BF%9B%E8%A1%8C-XSS-%E6%94%BB%E5%87%BB

简单来说就是找script文件中参数可控,且能触发xss的地方。

最终结果是:start.mvc#test

咱们可以通过这种路由去触发:http://localhost:8085/WebGoat/start.mvc#test/%3Cscript%3Ealert%281%29%3C%2fscript%3E

DOM型其实和反射型很像。

两种的区别在于:

  • DOM型是直接由前端处理注入的参数,整个过程不会向后端传递数据
  • 反射型是将数据传到后端过了一遍,再回显到前端页面实现注入的

第四题

用到上面那个#test,然后到f12 控制台检查。

http://localhost:8085/WebGoat/start.mvc#test/%3Cscript%3Ewebgoat%2ecustomjs%2ephoneHome%28123%29%3C%2fscript%3E

image.png

存储型

直接往评论区发,跟上面调用的script是一样的。只不过这里只要有用户浏览评论区就会触发。

小结

这里显然只能学到最基础的,后面遇到具体漏洞的时候再补充吧

参考

https://drun1baby.top/2022/05/05/WebGoat%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1-07-XSS/

WebGoat靶场-XSS
2025/08/02/WebGoat靶场-XSS/
作者
1diot9
发布于
2025-08-02 21:53
许可
  1. 1. 反射型&DOM
    1. 1.1. 第一题
    2. 1.2. 第二题
    3. 1.3. 第三题
    4. 1.4. 第四题
  2. 2. 存储型
  3. 3. 小结
  4. 4. 参考
© 2025    1diot9
由 Hexo 驱动 & 主题 Keep
本站由 提供部署服务
总字数 52.9k 访客数 访问量
  1. 1. 反射型&DOM
    1. 1.1. 第一题
    2. 1.2. 第二题
    3. 1.3. 第三题
    4. 1.4. 第四题
  2. 2. 存储型
  3. 3. 小结
  4. 4. 参考