网络攻防实验报告
——XSS攻击
何为XSS攻击?
XSS即Cross-site scripting跨站脚本,它是一种经常在web应用中出现的漏洞,攻击者可以使用该漏洞注入一些恶意代码以实现对受害者的攻击。
一、实验环境
SEEDUbuntu12.04
VMware Workstation 10.0.1
Elgg web application
Firefox with LiveHTTPHeaders extension
二、实验一
Part-1
(一)实验步骤
1.开启apache服务器
sudo service apache2 start
2.访问Elgg并以alice身份登入
3.修改alice的profile并注入script
4.alice退出,samy身份登入并访问alice的profile
Part-2
实验内容:使用脚本文件而不是直接注入代码
1.配置DNS即修改/etc/hosts文件
2.配置Apache server,在/etc/apache2/site-available/default中添加如下代码:
3.在/www目录下添加Example目录并在此目录下添加如下文件:
4.访问www.example.com以测验是否可正常访问
5.访问Elgg,以samy身份登入并修改samy的profile,在Location中添加如下代码:
6.访问Elgg,以alice身份登入并访问samy的profile