实验目的
学习xss的基础知识及利用方式。
实验原理
XSS
- 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意script代码,当用户浏览该页之时,嵌入其中Web里面的script代码会被执行,从而达到恶意攻击用户的特殊目的。
XSS种类
- 一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,如:dvbbs的showerror.asp存在的跨站漏洞。
- 另一类则是来自外部的攻击,主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个有跨站漏洞的网页,然后构造跨站语句,通过结合其它技术,如社会工程学等,欺骗目标服务器的管理员打开
实验内容
XSS20题库挑战
实验环境描述
虚拟机:H006003001win701
- 账号:admin
- 密码:123456
实验步骤
1、打开桌面上的xampp,然后点击启动apache,mysql,然后打开浏览器输入localhost地址进入实验页面
- 此靶场中所有的Payload均不唯一,课件中提供的Payload仅供参考
-
可以用快捷键F12调用Firefox的插件Hackbar,如下:
2、打开我的电脑,然后进入D:\phpstudy\xsschallenge\下,用记事本打开level.php查看代码,(后面的关卡同样打开对应关卡的level.php查看源码)
我们发现payload提交后,并未弹窗,查看源代码可知,这里使用双引号闭合,我们把payload换为双引号,页面出现一个超链接,点击即可。
将payload输入到输入框中,点击提交即可弹框。
将payload输入到输入框中,点击提交即可弹框。
