大学课程《电力行业信息安全与攻防技术》教学PPT课件：[6.2.1]Reflected（反射型）.pptxVIP

Reflected（反射型）

任务导入任务目标任务讲解任务总结

当系统未对用户输入进行严格过滤校验时;这类直接响应用户输入的漏洞，就可能被恶意利用。

通过实操演示拆解该漏洞的攻击逻辑反射型XSS漏洞

反射型XSS漏洞守护电力安全，既要守住物理设备的“硬防线”，更要筑牢代码层面的“软屏障”，对这类漏洞必须秉持“零容忍”态度，从源头防范风险。

任务导入任务目标任务讲解任务总结

任务目标知识目标能力目标素养目标理解未过滤用户输入的危害掌握反射型XSS漏洞的攻击原理具备分析简单PHP漏洞代码的能力

任务导入任务目标任务讲解任务总结

将靶场的难度级别设置为低在XSS(Reflected)选项的What’syourname?输入框里，填入：payload：`scriptalert(x);/script`

实操演示攻击者可通过类似脚本窃取运维人员账号密码、植入恶意程序、干扰系统正常运行。

实操演示```phpheader(X-XSS-Protection:0);//Isthereanyinput?if(array_key_exists(name,$_GET)$_GET[name]!=NULL){//FeedbackforenduserechopreHello.$_GET[name]