Reflected XSS Exercise
Posted 网络安全工程师
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Reflected XSS Exercise相关的知识,希望对你有一定的参考价值。
win7上安装wamp和DVWA:192.168.1.101
一台kali虚拟机:192.168.1.103
在wamp的www目录增加a.js文件:
在DVWA上找到Reflected Cross Site Scripting模块(注意DVWA Security调为low)
在kali虚拟机上开启nc监听:
在DVWA输入框中输入<script src=http://192.168.1.101/a.js></script>,点击submit,在kali虚拟机上查看效果:
可以看到kali上收到了win7上的cookie信息。
在wamp的www目录增加keylogger.js文件:
在kali虚拟机上开启Apache2服务,在/var/www/html/上增加keylogger.php文件:
同时在该目录下新增并监视文件keylog.txt:
在DVWA上找到Reflected Cross Site Scripting模块(注意DVWA Security调为low),在输入框中输入<script src=http://192.168.1.101/keylogger.js"></script>,点击submit:
在DVWA该界面随意按键123abc,在kali上查看效果:
可以看到kali上记录了我们的按键信息。
在实际操作过程中,会遇到很多问题,结合各种工具和报错日志一一排查,多一个少一个字符都是隐患!
在第一次配置完后没有出效果,在浏览器右键审查元素,在console控制台发现报错,No‘Access-Control-Allow-Origin’header is present on the requested resource. Origin‘null’is therefore not allowed access. 经过网上寻找是同源策略问题:Apache2 同源策略解决方案 - 配置 CORS,在www.easy4sec.com上都有记录,可以找到解决办法。
以上是关于Reflected XSS Exercise的主要内容,如果未能解决你的问题,请参考以下文章
DVWA--XSS(Reflected)XSS(Stored)
如何避免Winforms c#中的Reflected_xss_all_clients漏洞