攻击者事先将恶意代码上传或储存到漏洞服务器中,只要受害者浏览包含此恶意代码的页面就会执行恶意代码。这就意味着只要访问了这个页面的访客,都有可能会执行这段恶意脚本,因此储存型XSS的危害会更大。因为存储型XSS的代码存在于网页的代码中,可以说是永久型的。
添加js,选择alert.js 点击生成payload并复制 复制到dvwa,注意【maxlength】字长,如果字长不够,注意在检查代码中删除或修改maxlength
点击【Sign Guestbook】弹框出现
(通过xss完成基本的攻击,包括获取后台地址,认证cookie) 新建c.js
复制payload 收到信息打开 得到cookie
