【网络攻防技术】实验七—— XSS攻击实验(Elgg)

最新推荐文章于 2024-06-23 14:17:48 发布
最新推荐文章于 2024-06-23 14:17:48 发布
阅读量7.9k 收藏 31
点赞数 3
文章标签: 网络 xss web安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45755706/article/details/123213758
版权
本文介绍了如何利用XSS漏洞进行一系列攻击,包括显示警告窗口、窃取cookies、成为受害者的朋友以及创建自我传播的蠕虫。实验在预设的Ubuntu VM上的Elgg应用中进行,详细阐述了每个任务的步骤和结果,同时讨论了如何通过Content Security Policy(CSP)来防御XSS攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

一、实验题目

跨站点脚本(XSS)是一种常见于web应用程序中的计算机安全漏洞。此漏洞使攻击者有可能将恶意代码(如JavaScripts)注入受害者的web浏览器。
为了演示攻击者可以做什么,我们在预先构建的Ubuntu VM映像中设置了一个名为Elgg的web应用程序。我们已经注释掉了Elgg的一些保护方法,故意使其容易受到XSS攻击。学生们需要利用这些漏洞发动攻击,就像Samy Kamkar在2005年通过臭名昭著的Samy蠕虫对MySpace所做的那样。此攻击的最终目标是在用户之间传播XSS蠕虫,这样无论谁查看受感染的用户配置文件都会受到感染,无论谁受感染都会将您(即攻击者)添加到他/她的好友列表中。

二、实验步骤及结果

配置相关环境

Task1: Posting a Malicious Message to Display an Alert Window

(1)正常登录站点,这里我以samy身份登录;接下来在profile插入XSS并保存
在这里插入图片描述

(2)回到个人主页
在这里插入图片描述

Task 2: Posting a Malicious Message to Display Cookies

(1)回到编辑页面,把alert中的xss代码替换成document.cookie后保存
在这里插入图片描述

(2)得到cookie
在这里插入图片描述

Task 3: Stealing Cookies from

最低0.47元/天 解锁文章
whalien__52
关注
【Seed-Labs 2.0】Cross-Site Scripting (XSS) Attack Lab (Web Application: Elgg)
AustinCyy的博客
01-03 1332
跨站脚本 (XSS)网络应用程序中常见的一种漏洞。攻击者可利用该漏洞向受害者的网络浏览器注入恶意代码(如 JavaScript 程序)。利用这些恶意代码,攻击者可以窃取受害者的凭证,如会话 cookie。利用 XSS 漏洞可绕过浏览器为保护这些凭证而采用的访问控制策略(即同一来源策略)。
网络攻防实验-XSS攻击-基于Elgg-Task1-4
Code_Thinking的专栏
06-06 8429
网络攻防实验报告                                                                                       ——XSS攻击 何为XSS攻击? XSS即Cross-site scripting跨站脚本,它是一种经常在web应用中出现的漏洞,攻击者可以使用该漏洞注入一些恶意代码以实现对受害者的攻击。 一、实验环境
网络攻防-XSS攻击实验
qq_64389397的博客
01-07 2408
1.在传播病毒的同时,将病毒也复制在about me中,这样这段代码就会一直存在,所有访问都在自己的about字段添加这段代码,这样就能一直传第下去。如果不添加If判断,如果时samy自己进入个人简介,也会触发JavaScript代码,但是因为post的about me字段为空,那么这段JavaScript代码将会被清空,所以需要加上这段if判断,这样当当前用户是samy时,不会触发。3.由获取的信息可知,接口的url地址,post提交数据的方式,使用这些信息填入JavaScript框架的对应信息中。
网络攻防技术XSS攻击实验——Cross-Site Scripting (XSS) Attack Lab
omniscience的博客
11-13 1706
可以利用www.example60.com,image_www文件夹下的apache_csp.conf文件有这些网站的根目录信息,可以把代码保存在www.example60.com,让代码调用这个网站的JavaScript代码。self表示只允许从同一域名加载资源,*.example.com表示只允许加载该域名的子域名的资源,unsafe-inline允许内联脚本(一般指script标签的JS代码)、onclick等的执行。此任务的目标是发布一条包含JavaScript的恶意消息,以显示一个警报窗口。
【SEED Labs 2.0】Cross-Site Scripting Attack Lab
Chenyang的博客
08-25 6669
本文为 SEED Labs 2.0 - Cross-Site Scripting Attack Lab 的实验记录。 实验原理 跨站脚本攻击是指恶意攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页之时,嵌入其中 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。xss 漏洞通常是通过 php 的输出函数将 javascript 代码输出到 html 页面中,通过用户本地浏览器执行的,所以 xss 漏洞关键就是寻找参数未过滤的输出函数。 Task 1: Posting
SeedLab——Cross-Site Scripting (XSS) Attack Lab
Aft3rGl0w的博客
01-14 2598
CSP通过指定允许加载和执行的内容源和资源,限制了浏览器中可以执行的代码。JavaScript可以操作cookie,因此当一个页面存在xss漏洞时,攻击者嵌入的恶意代码就能够完成截获所有访问该页面的cookie,然后将cookie发送给攻击者的服务器的行为,这样攻击者就能使用cookie冒充这些用户的身份了。cookie是存储在客户端的一些键值数据,它用于跟踪和存储有关用户状态、会话和身份验证,因此cookie是浏览器客户端的十分敏感的数据,如果cookie被泄露,就会造成敏感信息的泄露、用户身份的冒用。
网络攻防技术——XSS实验
学习记录
02-27 3671
一、题目 跨站点脚本(XSS)是一种常见于web应用程序中的计算机安全漏洞。此漏洞使攻击者有可能将恶意代码(如JavaScripts)注入受害者的web浏览器。 为了演示攻击者可以做什么,我们在预先构建的Ubuntu VM映像中设置了一个名为Elggweb应用程序。我们已经注释掉了Elgg的一些保护方法,故意使其容易受到XSS攻击。学生们需要利用这些漏洞发动攻击,就像Samy Kamkar在2005年通过臭名昭著的Samy蠕虫对MySpace所做的那样。此攻击的最终目标是在用户之间传播XSS蠕虫,这样无论
XSS 攻击实验 & 防御方案
热门推荐
is_zhoufeng的专栏
05-22 2万+
XSS 实验 不要觉得你的网站很安全,实际上每个网站或多或少都存在漏洞,其中xss/csrf是最常见的漏洞,也是最容易被开发者忽略的漏洞,一不小心就要被黑 下面以一个用户列表页面来演示xss攻击实验 假设某个恶意用户在注册时输入的用户名中包含攻击代码 首先准备一个jsp页面来显示用户列表 "text/html;charset=UTF-8" language="j
XSS漏洞实验
最新发布
goldfish8848的博客
06-23 1728
本篇为xss漏洞实验练习,练习网址来源于网络
XSS实验
qq_56472016的博客
12-14 2262
实验目的:了解什么是XSS;了解XSS攻击实施 系统环境:Kali Linux 2、Windows Server 网络环境:交换网络结构 实验工具: Beef;AWVS(Acunetix Web Vulnarability Scanner) 实验步骤: XSS部分:利用Beef劫持被攻击者客户端浏览器。 实验环境搭建。 角色:留言簿网站。存在XSS漏洞;(IIS或Apache、guestbook搭建) 攻击者:Kali(使用beEF生成恶意代码,并通过留言方式提交到留言簿网站); 被攻击
web安全技术-实验、跨站脚本攻击xss)(反射型).doc
08-20
web安全技术-实验、跨站脚本攻击xss)(反射型)
网络攻防34个实验
10-05
sniffer和Wireshark工具软件的使用,运用ping抓IP结构,
网络攻防实验报告:Web_XSS_Elgg安全漏洞分析
资源摘要信息:"网络攻防课程seed-labs实验-Web_XSS_Elgg.zip" 该资源为网络攻防课程的一个实验包,名为"Web_XSS_Elgg",属于seed-labs系列。Seed-labs是提供给学生和教育者的一套安全实验,旨在通过实践操作来帮助...
Cross-Site Scripting (XSS) Attack Lab (Web Application: Elgg)——山东大学网络攻防实验
我有一颗五角星
05-22 7581
跨站点脚本(XSS)是通常在Web应用程序中发现的一种计算机安全漏洞。此漏洞可使攻击者将恶意代码(例如JavaScript)插入受害者的Web浏览器。使用这种恶意代码,攻击者可以窃取受害者的凭据,如Cookie。可以通过利用XSS漏洞来绕过浏览器用于保护这些凭据的访问控制策略(即,同源策略)。这类漏洞已经被利用来制作强大的网络钓鱼攻击和浏览器攻击。 为了展示利用XSS漏洞攻击者可以做什么,我们在预制的Ubuntu VM映像中设置了名为ElggWeb应用程序。Elgg是社交网络非常受欢迎的开源Web应用程序
漏洞挖掘——实验12 Cross-Site Scripting (XSS) Attack Lab
一半西瓜的博客
04-17 3539
题目 Lab Cross-Site Scripting (XSS) Attack Lab Pre 1、名词解释:double free,UAF (Use After Free),RELRO(Relocation Read Only), Dangling pointer,Control Flow Guard 2、阅读下面这三篇文章: UAF学习--原理及利用 https://www.cnb...
【SEED LAB】 Cross-Site Scripting (XSS) Attack With SEED Labs - XSS攻击与练习
Jeongon的博客
11-23 1229
seed lab XSS攻击的理解与练习
网络攻防技术——TCP攻击实验
wion03的博客
11-23 3476
实验的学习目标是让学生获得有关漏洞以及针对这些漏洞的攻击的第一手经验。聪明人从错误中学习。在安全教育中,我们研究导致软件漏洞的错误。研究过去的错误不仅有助于学生理解为什么系统容易受到攻击,为什么“看似良性”的错误会变成灾难,以及为什么需要许多安全机制。更重要的是,它还帮助学生了解漏洞的常见模式,从而避免将来犯类似的错误。此外,使用漏洞作为案例研究,学生可以学习安全设计、安全编程和安全测试的原则。TCP/IP协议中的漏洞代表了协议设计和实现中的一种特殊类型的漏洞;
实验2:跨站脚本攻击XSS
weixin_52363821的博客
04-08 2575
利用KaliLinux对DVWA的Reflected Cross Site Scripting (XSS)/Stored Cross Site Scripting (XSS)模块,实现利用XSS盗取cookie,并用盗取的cookie绕过登陆步骤直接进入网站首页: Low等级; Medium等级; High级别; Impossible等级的机制以及修复、防御方法。 利用XSS成功盗取DVWA网站的cookie,用盗取的cookie绕过登陆步骤直接进入DVWA网站首页。
xss渗透试验(2)
debugeeker的专栏
01-13 1948
工具:appscan 站点:www.talk915.com 浏览器:IE8,firefox 方法:插入 由于浏览器在地址内容进行正则的匹配,那么,只能换取一种方式,注入一个超链接标签,而不是直接执行。且这个超链接标签可以诱使用户去点击。   由于XSS攻击脚本还是基于html标签补齐。而SearchWhere所在的标签 <input class="search fl"onkeyd
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值