DVWA-Javascript

Javascript漏洞指的是通过某种方式绕过前端的javascript逻辑进行服务器访问。

 

–low级别:

服务器端代码:

DVWA-Javascript

提交token无效的结果如下:

DVWA-Javascript

因为这里要求是在文本框中提交success内容,并且获取到最新token信息,才能提交成功。

因此,先在文本框中输入success,然后再console控制台中,手动调用generate_token()函数。生成新的token后,再点击submit进行提交。

具体如下

DVWA-Javascript

提交结果:

DVWA-Javascript

 

–medium级别

服务器端代码:

DVWA-Javascript

在页面中phrase文本框中,先输入success,再手动调用do_elsesomething()函数并指定参数为:XX,再进行提交。

具体如下:

DVWA-Javascript

提交结果如下:

DVWA-Javascript

 

–high级别:

服务器端代码:

DVWA-Javascript

由于在high.js中进行了ob混淆,在线解混淆地址:http://deobfuscatejavascript.com

DVWA-Javascript

 具体如下:

DVWA-Javascript

执行结果:

DVWA-Javascript

 

© 版权声明

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...