Cross Site Tracing (XST) Attacks(跨站跟踪攻击)练习详细步骤(WebGoat5.4)

最新推荐文章于 2021-12-27 15:53:32 发布
最新推荐文章于 2021-12-27 15:53:32 发布
阅读量2.1k 收藏 4
点赞数
分类专栏: 软件测试-安全渗透 文章标签: XST html img标签 TRACE方法 HTTP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/otianye/article/details/48053945
版权
由于对web编程不是很熟悉,谨以此文分享给学习WebGoat但是web编程底子不好的小伙伴。HTTP的Method中有专为调试Web Server连接的(TRACE/TRACK),但正式上线运行的WebServer如果支持Trace/Track方式,则一定存在跨站攻击漏洞。RFC 2616 for HTTP 如下定义 TRACE 方法,“此方法用于调用已请求消息的远程、应用层回送(
摘要由CSDN通过智能技术生成

由于对web编程不是很熟悉,谨以此文分享给学习WebGoat但是web编程底子不好的小伙伴。


HTTP的Method中有专为调试Web Server连接的(TRACE/TRACK),但正式上线运行的WebServer如果支持Trace/Track方式,则一定存在跨站攻击漏洞。RFC 2616 for HTTP 如下定义 TRACE 方法,“此方法用于调用已请求消息的远程、应用层回送(loopback)。请求的接收方是源服务器或第一个代理或接收请求中零(0)Max-Forwards 值的网关。”


练习1:(IE 9)

(由于IE7以后open不支持TRACE方法(见参考资料1),此处使用GET方法)

最低0.47元/天 解锁文章
jntcf
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
阻止跨网站跟踪(Prevent Cross-Site Tracking)时cookie未获取到,造成服务端获取session失败
会飞的海象
06-14 1万+
ActionContext.getContext().getSession().put(Constants.SYS_INFO, sysInfo); ActionContextUtil.getContext(accountNo).setThemeName(); ActionContextUtil.getContext(accountNo).setCustomI18N(); 配置文件config.p...
Cross Site Tracing (XST) Attacks
OOM
07-30 3743
转载自:http://forum.eviloctal.com/thread-12959-1-1.html XST攻击属于XSS攻击的一种。 XST攻击描述: 攻击者将恶意代码嵌入一台已经被控制的主机上的web文件,当访问者浏览时恶意代码在浏览器中执行,然后访问者的cookie、http基本验证以及htlm验证信息将被发送到已经被控制的主机,同时传送Trace请求给目标主机,导致cookie欺
WebGoat5.4 Cross-Site Scripting (XSS) 开发版本关卡 通关攻略
weixin_46356548的博客
12-27 3484
本人在学习WebGoat5.4时,发现有些题目需要在开发版本上完成,网上能找到的所谓的通关教程,都说这些题目做不了,经过尝试发现,其实是可以完成的,本篇将对这部分进行重点说明。
WebGoat-5.4实验笔记(2)
Jo_kong的博客
10-10 1570
webgoat其他项目的学习笔记在我的博客里有。 General(总体目标) 1、Http Basics(HTTP基础知识) 点击Http Basics,查看页面信息,显示输入信息后,服务器接收请求后会返回用户的输入信息,并回显给用户。我在Enter your Name输入“hello”,点击Go! 使用burpsuite代理抓取数据包,person数值为“hello”,点击forward,返回...
WebGoat学习笔记(六)——Cross Site Tracing(XST) Attacks
走走停停
11-18 1367
JS Post Url
WebGoat-5.4实验笔记(3)
Jo_kong的博客
10-11 2058
访问控制缺陷(Access Control Flaws) 1、使用访问控制模型(Using an Access Control Matrix) 技术概念: 在一个基于角色的访问控制方案中,角色代表了一组访问权限和特权。一个用户可以被分配一个或多个角色。一个基于角色的访问控制方案通常有两个部分组成:角色权限管理和角色分配。一个被破坏的基于角色的访问控制方案可能允许用户执行不允许他/她的被分配的角色,...
ray-tracing.zip_ray tracing_ray tracing折射_光线跟踪
07-14
用光线跟踪方法进行对三维静态场景的显示和渲染。 包括在点光源的照射下,渲染平面和球体的漫反射、镜面反射、折射效果及纹理映射效 果。
boundaries.rar_boundaries_boundary tracing_轮廓提取_轮廓跟踪_边界追踪法
07-14
利用边界追踪法对图像进行轮廓提取,此函数文件得到的是边界点对应位置索引矩阵
(完整word版)CAD练习题(附带详细绘图步骤)...doc
11-17
以下是一些基于提供的CAD练习题中的关键知识点的详细说明: 1. **定数等分命令**:AutoCAD中的“定数等分”(Divide)命令可以将线段、圆弧或曲线分成相等的部分,方便进行精确的绘图。在练习题1中,通过这个命令将...
webgoat5.4带bat for win32
02-25
关键现在找不到了,但是在这里你可以找到WebGoat-5.4-OWASP_Standard_Win32
WebGoat-5.2
11-20
文件被分卷解压,请在我的资源页搜索WebGoat-5.2.z01、WebGoat-5.2.z02同时下载,放入同一文件夹。
WebGoat-Archived-Releases:WebGoat 5.4版本及更早版本
05-14
Web山羊存档发布 WebGoat 5.4版本及更早版本
WebGoat-5.4
10-10
WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。WebGoat提供了一系列web安全学习的教程,某些课程也给出了视频演示,指导用户利用这些漏洞进行攻击。是学习web漏洞实验的最佳平台(个人认为)
apollo-opentracing:通过Opentracing跟踪您的Apollo GraphQL服务器
02-04
Apollo Opentracing允许您根据行业标准将开源烘焙的性能跟踪集成到您的Apollo服务器。 :rocket: 开箱即用地追溯请求和字段级别的解析程序 :magnifying_glass_tilted_left: 记录查询和结果,以使调试更加容易 :...
vertx-tracing:Vertx与跟踪库的集成
04-06
1. **监控微服务间的通信**:跟踪跨服务的请求,以理解它们是如何在整个系统中流动的。 2. **性能分析**:确定系统瓶颈,通过查看调用链路找出导致延迟的部分。 3. **故障排查**:当出现问题时,跟踪数据可以帮助...
WebGoat-5.4实验笔记(1)
Jo_kong的博客
10-10 2167
简介:WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。 在这里,我...
xss跨站脚本漏洞总结
zdy8023的博客
03-27 1980
xss难点主要在挖掘.闭合、绕过上 XSS(cross-site script)跨站脚本自1996年诞生以来,一直被OWASP(open web appliaction security project)评为十大安全漏洞中的第二威胁漏洞。也有黑客把xss当做新型的"缓冲区溢出攻击",而javascript是新型的shellcode。 xss最大的特点就是能注入恶意的代码到用户浏览器的网页上。从...
cross-site tracing XST攻击
xysoul的专栏
08-21 3422
XST攻击描述: 攻击者将恶意代码嵌入一台已经被控制的主机上的web文件,当访问者浏览时恶意代码在浏览器中执行,然后访问者的cookie、http基本验证以及ntlm验证信息将被发送到已经被控制的主机,同时传送Trace请求给目标主机,导致cookie欺骗或者是中间人攻击XST攻击条件: 1、需要目标web服务器允许Trace参数; 2、需要一个用来插入XST代码的地方;  3、
如何利用HTTP TRACE方法进行XST攻击XST攻击和XSS攻击有何异同?
最新发布
05-12
由于TRACE方法可以将客户端发送的信息回显到响应中,因此它可以被利用来进行跨站追踪(Cross-Site TracingXST攻击XST攻击的基本步骤如下: 1. 攻击者在目标网站上注入一段带有TRACE方法的JavaScript代码。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值