3-跨站脚本攻击(XSS)实训操作

01
PHPStudy
03
02
DVWA
3
XSS漏洞攻击
实操环节
登录DVWA，将安全级别调整为“Low”。
3
XSS漏洞攻击
实操环节
反射型XSS
3
XSS漏洞攻击
实操环节
反射型XSS
3
XSS漏洞攻击
实操环节
存储型XSS
3
XSS漏洞攻击
实操环节
存储型XSS
3
XSS漏洞攻击
反射型XSS
存储型XSS
反射型XSS的代码是 从目标服务器通过错 误信息、搜索结果等 方式“反射”回来的， 其攻击是一次性的。
3
XSS漏洞挖掘
实操环节
构造并输入XSS代码：<script>alert(“xss”)</script>，单击“提交查询”按钮。
3
XSS漏洞挖掘
实操环节
运行测试文件2，弹出测试页面。 输入“1”，单击“提交查询”按钮，输出“1”。
3
XSS漏洞挖掘
实操环节
仍然构造同样的XSS代码：<script>alert(“xss”)</script>，单击“提交查询”按钮。
小结
本次课程讲解的主要内容包括：
1. 搭建XSS漏洞攻击的测试用实验环境。
2. 编写测试用文件。 3. 使用DVWA模拟反射型XSS和存储型XSS的攻击 过程。
课后作业
任务情境：XSS漏洞攻击有反射型和存储型，设计2个实验，模拟两种 XSS攻击的过程，说明两者的区别。
操作任务1. 在虚拟机中安装PHPStudy集成环境；
存储型XSS的攻击脚 本，将被永久的写入 到目标服务器的数据 库和文件中。
课堂练习
1.制作一个html页面（fbly.html），可以发表留言和查看留言； 2.制作一个php文件（fbly.php），可以将留言写入dat文件； 3.运行fbly.html文件，输入正常的文字或字符，可以将内容写入dat文件。 4.输入构造的XSS代码，可以出现弹窗。
教学内容
1 2 3 4
搭建实验环境
编写测试程序代码 XSS漏洞挖掘 XSS漏洞攻击
2
编写测试程序代码
实操环节
测试文件1
2
编写测试程序代码
实操环节
测试文件2
பைடு நூலகம்
教学内容
1 2 3 4
搭建实验环境
编写测试程序代码 XSS漏洞挖掘 XSS漏洞攻击
3
XSS漏洞挖掘
实操环节
运行测试文件1，在文本框中任意输入，如“abcd1234”，单击“提交查询”按钮。
跨站脚本攻击（XSS）实训操作
教学目标
熟悉测试环境的搭建 掌握测试代码文件的编写 掌握XSS漏洞的攻击及防御
教学内容
1 2
搭建实验环境
编写测试程序代码 XSS漏洞挖掘 XSS漏洞攻击
3
4
1
搭建实验环境
实操环节
02
Windows7/8/10
01
PHPStudy
03
02
火狐浏览器插件 Hackbar
3
XSS漏洞挖掘
实操环节
我们如何实现XSS攻击呢？
方法是： 在<script>alert(‘XSS’)</script>前 面加个“">”来闭合input标签。
教学内容
1 2 3 4
搭建实验环境
编写测试程序代码 XSS漏洞挖掘 XSS漏洞攻击
4
XSS漏洞攻击
实操环节
搭建实验环境
02
VMware Workstation
操作任务2. 在虚拟机中安装DVWA渗透测试平台
操作任务3. 模拟Low级别的反射型XSS攻击模拟。 操作任务4. 模拟完成Low级别的存储型XSS攻击模拟。
谢谢观看！