实验四 跨站本攻击.doc

实验四 跨站脚本攻击(XSS)实验 班级﹒学号：网络1202班.201258080202 姓 名： 肖娜 实验日期： 2014年11月28日 任课教师： 向凌云 【实验目的】 【实验原理】 XSS(Cross Site Script)Html字符或者根本就没有经过过滤就放到了数据库中，一个恶意用户提交的Html代码被其它浏览该网站的用户访问，通过这些Html代码也就间接控制了浏览者的浏览器，就可以做很多的事情，如：窃取敏感信息、引导访问者的浏览器去访问恶意网站等。 一、 XSS攻击的两种方式 内跨站(来自自身的攻击)主要指的是利用程序自身的漏洞，构造跨站语句。 外跨站(来自外部的攻击)主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。 例如：当我们要渗透一个站点，我们自己构造一个有跨站漏洞的网页，然后构造跨站语句，通过结合其它技术，如社会工程学等，欺骗目标服务器的管理员打开。 二、 XSS攻击的危害 (1) 针对性挂马 这类网站一定是游戏网站，银行网站或者是关于QQ、taobao或者影响力相当大的网站，挂马(网页木马)的目的无非是盗号或者批量抓肉鸡。 (2) 用户权限下操作 这类网站一般有会员，而且这些会员有很多有意义的操作或者有我们需要的内部个人资料，所以我们可以通过XSS对已登录访问者进行有权限操作。例如：盗取用户cookies，从而获取用户某些信息或者进行权限下的相关操作。 (3) DoS攻击 这同样需要一个访问量非常大的站点，我们可以通过访问此页的用户不间断的攻击其它站点，或者进行局域网扫描等等。 (4) 实现特殊效果 譬如在百度空间插入视频、插入版块；还有一些人在新浪博客实现了特殊效果等等。 三、 XSS的检测 scriptalert(/XSS/)/script弹出提示框 img src=javascript:alert(XSS)弹出提示框 scriptalert(document.cookie)/script弹出用户COOKIES iframe src=/iframe在当前页插入另一站点【实验环境】 Windows实验台 【实验内容】 了解跨站脚本，并知道如何发现跨站脚本及如何利用跨站脚本 【实验步骤】 【实验思考】 《网络防护技术》实验报告 6 7