本文详细介绍了WebGoat实验中的XSS攻击,包括Stored XSS和Reflected XSS两种类型。通过实验,展示了攻击者如何在用户资料中插入恶意代码,以及在搜索和输入框中利用代码执行攻击。此外,还提到了CSRF相关的攻击方式。
Stage 1: Stored XSS(存储XSS攻击)
实验内容:主要是用户“Tom”(攻击者)在自己的个人资料中添加了恶意代码(比如最简单的<script>alert('121212');</script>),然后保存。在被攻击者“Jerry”查看Tom的资料的时候,会执行Tom写的恶意代码。
步骤:
首先Tom登录,在自己资料(ViewProfile)的任意地方添加代码:<script>alert('121212');</script>,如图1:
图·1
如果实验成功,在保存资料的时候,会弹出框,则证明成功,如图2。但是不知道为什么我成功了却不现实成功。
图2
Stage 2、4、6,需要开发版的,我暂时没装,所以暂时不能做。
Stage 3:因为Stage 2不能做,因此Stage 3其实做不做都一样。步骤如Stage 1。
Stage 5: Reflected XSS
前面几个,都是在个人资料中添加恶意代码,然后别人在查看的时候,就可以执行恶意代码。而在Stage 5中,是你在搜索的时候,本来应该输入用
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
