《跨站脚本攻击(XSS)实验.doc》由会员分享,可在线阅读,更多相关《跨站脚本攻击(XSS)实验.doc(10页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、,实验内容与步骤:【实验步骤】(1) 打开Windows实验台,然后在IE浏览器中输入http:/localhost/xss-test.asp,得到如图3.6.21所示的界面,此网页可以直接输出文本框中输入的内容。图3.6.21(2) 尝试输入任意字符、符号、数字,查看网页,如下所示。图3.6.22 输入字母“abcbc”所得页面图3.6.23 输入数字“123123”图3.6.24 输入“#” 从上面的图片可以看出,页面是显示正常的。(3) 检测能否XSS在输入栏中分别输入:alert(/XSS/) 弹出提示框 弹出提示框alert(document.cookie) 弹出用户COOKIES
2、在当前页插入另一站点并查看效果,效果如图3.6.25和图3.6.26所示。图3.6.25 输入alert(/XSS/)之后的效果图3.6.26 输入之后的效果通过上面的实验,能够看出,由于页面对于特殊符号未进行过滤,导致了跨站的产生,如图3.6.26,如果这时标签内所嵌入的网站,进行了属性的修饰,设定了页面的宽度和高度,而且都设置为0,那么所内嵌的页面就不会显示。【实验步骤】一、 木马攻击(1) 在Windows实验台中启动qjsc网页服务(默认已启动)。(2) 在本地主机启动IE浏览器(需是6.0版本,如是其它版本可启动Windows实验台内的IE)。(3) 打开Windows实验台qjsc
3、网站的管理登录页面,如图3.6.42所示(本例为http:/172.21.3.6/qjsc/admin/Login.asp)。图3.6.42 管理登录(4) 登录后打开侧边栏(用户名admin;密码123),如图3.6.43所示。图3.6.43 点击打开侧边栏(5) 选择“下载中心|添加下载程序”,点击“下载说明”中的“插入图片”按钮,如图3.6.44所示;在文件路径选择放置木马的路径(本例为C:木马网页vote.asp,随意编辑一个文件用于实验即可),点击“上传文件”,会提示文件格式不对,如图3.6.45所示。图3.6.44 插入图片按钮图3.6.45 格式提示(6) 复制一份木马,将其后缀
4、名改为jpg格式,再次上传成功,如图3.6.46所示。图3.6.46 上传成功(7) 点击“下载说明”下方的“HTML视图”,可以查看上传图片的路径,如图3.6.47所示,按Ctrl+C复制其路径。图3.6.47 查看路径(8) 在其它必填框中随意输入一些其它信息并提交,如图3.6.48所示。图3.6.48 提交成功(9) 点击“系统管理|数据库备份”,在“当前数据库路径”中填入刚复制的上传文件路径,在备份名称中填入后缀名为asp的文件,如图3.6.49所示。图3.6.49 备份文件(10) 点击“确认”后,会有备份成功提示并给出完整的备份路径,如图3.6.410所示,这样我们就可以完全利用该
5、木马了;可在实验台的备份路径下查看该文件,如图3.6.411所示。图3.6.410 显示备份路径图3.6.411 查看文件二、 防篡改测试(1) 点击运行Safe3网页防篡改系统,输入登录密码(admin),如图3.6.412所示。图3.6.412 登录界面(2) 添加对应的保护规则(保护文件夹为C:InetpubwwwrootqjscadminDatabackup),如图3.6.413和图3.6.414所示。图3.6.413 选择保护路径图3.6.414 添加规则(3) 在此进行数据库备份操作以上传木马,比较前后区别,验证保护规则的有效性,如图3.6.415和图3.6.416所示。图3.6.415 重新复制图3.6.416 复制失败四、实验总结:五、指导教师评语及成绩:教师签名成绩批阅日期2013 年 月 日