跨站脚本攻击(xss)实验报告

合集下载

相关主题

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

北京理工大学珠海学院实验报告

ZHUHAI CAMPAUS OF BEIJING INSTITUTE OF TECHNOLOGY 实验题目跨站脚本攻击（xss）实验实验时间 2014.5.13

一、实验目的：

了解跨站脚本，并知道如何发现跨站脚本及如何利用跨站脚本

二、实验内容以及步骤：

(1)打开Windows实验台，然后在IE浏览器中输入http://localhost/xss-test.asp，得到如图

所示的界面，此网页可以直接输出文本框中输入的内容。

(2)尝试输入任意字符、符号、数字，查看网页，如下所示。

图3.6.2-2 输入字母“wwww123”所得页面

图3.6.2-3 输入数字“pppp456”

从上面的图片可以看出，页面是显示正常的。

(3)检测能否XSS

在输入栏中分别输入：

弹出提示框

弹出用户COOKIES

在当前页插入另一站点

并查看效果，效果分别如下所示。

通过上面的实验，能够看出，由于页面对于特殊符号未进行过滤，导致了跨站的产生，如果这时标签内所嵌入的网站，进行了属性的修饰，设定了页面的宽度和高度，而且都设置为0，那么所内嵌的页面就不会显示。</p><p>三、思考题：</p><p>1、跨站脚本攻击原理</p><p>用户提交的变量没有经过完整过滤Html字符或者根本就没有经过过滤就放到了数据库中，一个恶意用户提交的Html代码被其它浏览该网站的用户访问，通过这些Html代码也就间接控制了浏览者的浏览器，就可以做很多的事情，如：窃取敏感信息、引导访问者的浏览器去访问恶意网站等。</p><p>2. XSS攻击的两种方式</p><p>内跨站(来自自身的攻击)主要指的是利用程序自身的漏洞，构造跨站语句。</p><p>外跨站(来自外部的攻击)主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。</p><p>四、实验总结：</p><p>通过本次实验，我了解了跨站脚本基本攻击原理是：用户提交的变量没有经过完整过滤Html 字符或者根本就没有经过过滤就放到了数据库中，一个恶意用户提交的Html代码被其它浏览该网站的用户访问，通过这些Html代码也就间接控制了浏览者的浏览器。从网站开发者的角度看，应做到如下几点以防止任何已成功注入的脚本在浏览器端运行：输入验证，输出编码，注意黑名单验证方式的局限性，警惕规范化错误。</p> </div> </div> </div> </div> </div> <div id="rightcol" class="viewcol"> <div class="coltitle">相关文档</div> <ul class="lista"> <li><a href="/doc/0a4966150.html" target="_blank">XSS跨站脚本攻击技术与防范</a></li> <li><a href="/doc/0c13327396.html" target="_blank">跨站脚本攻击实例解析</a></li> <li><a href="/doc/0315413947.html" target="_blank">3-跨站脚本攻击(XSS)实训操作</a></li> <li><a href="/doc/101738759.html" target="_blank">XSS跨站脚本攻击技术</a></li> <li><a href="/doc/115153930.html" target="_blank">跨站脚本攻击--原理、检测与防御</a></li> <li><a href="/doc/2f14930242.html" target="_blank">跨网站脚本攻击(XSS)的原理与防范对策</a></li> <li><a href="/doc/615756857.html" target="_blank">跨站脚本攻击的危害和防护方法</a></li> <li><a href="/doc/757852432.html" target="_blank">跨站脚本攻击论文</a></li> <li><a href="/doc/9312321774.html" target="_blank">跨站脚本攻击XSS攻击与防范指南</a></li> <li><a href="/doc/a7711878.html" target="_blank">XSS跨站脚本攻击详述</a></li> </ul> <div class="coltitle">最新文档</div> <ul class="lista"> <li><a href="/doc/071000073.html" target="_blank">饭店包间名字大全</a></li> <li><a href="/doc/0d10001030.html" target="_blank">word无法创建工作文件,请检查临时环境变量</a></li> <li><a href="/doc/0d10001458.html" target="_blank">自行车健身比赛开幕式讲话词</a></li> <li><a href="/doc/0510001469.html" target="_blank">2018乡村医生个人工作总结</a></li> <li><a href="/doc/0e10002558.html" target="_blank">MySQL测试题 SQL</a></li> <li><a href="/doc/0310002568.html" target="_blank">合勤NXC5200</a></li> <li><a href="/doc/0210004833.html" target="_blank">铁路集中箱空箱调度优化建模案例(案例2)</a></li> <li><a href="/doc/021000530.html" target="_blank">微分几何教学大纲-复旦大学数学科学学院</a></li> <li><a href="/doc/031000596.html" target="_blank">人教版九年级数学上册导学案：24.1.1_圆【精品】</a></li> <li><a href="/doc/0c10006773.html" target="_blank">(整容后办护照用)医院整容证明</a></li> <li><a href="/doc/0e10006860.html" target="_blank">危险废物管理台账</a></li> <li><a href="/doc/0310008420.html" target="_blank">2017年终大会会场物料设计方案</a></li> </ul> </div> </div> <script> var did = "b2256104"; var ext = 'doc'; var docId = '05c4mxgrbio6dhhsza4o'; var totalPage = 3; const pageNum = '3'; </script> <div class="clearfloat"></div> <div id="footer"> <div class="ft_info"> <a href="https://beian.miit.gov.cn">闽ICP备16038512号-3</a> <a href="/tousu.html" target="_blank">侵权投诉</a>  ©2013-2023 360文档中心,www.360docs.net | <a target="_blank" href="/sitemap.html">站点地图</a><br> 本站资源均为网友上传分享，本站仅负责收集和整理，有任何问题请在对应网页下方投诉通道反馈 </div> <script>foot()</script> </div> </body> </html>