XSS偷窃Cookie材料.ppt

XSS偷窃Cookie报告 大纲 OWASP WEBGOAT 上的样例 网上实例攻击论坛 OWASP WEBGOAT 上的样例 OWASP WEBGOAT 上的样例 OWASP WEBGOAT 上的样例 点Submit 之后会有一条留言 OWASP WEBGOAT 上的样例 当我们点击“1”的留言后我们可以看到我们刚才输入的内容 OWASP WEBGOAT 上的样例 我们输入一条JavaScript语句看一下是否有这个漏洞。。。接着点提交 OWASP WEBGOAT 上的样例 当我们提交后会多出一条留言“2” ，我们点击它 OWASP WEBGOAT 上的样例 会出现”ha ha ha” 刚才的脚本语句，说明这个留言系统有这个XSS漏洞 OWASP WEBGOAT 上的样例 我们第三条留言 加入一段JavaScript 要求在本机打印出本机的cookies 的信息 二、 OWASP WEBGOAT 上的样例 点击就可以打印本机关于这个网站的cookies信息，我们可以得到这个SessionId OWASP WEBGOAT 上的样例 我们就在想在本机拿到 cookies 有什么意义？ 其实我们不仅可以拿到cookies 有的时候还可拿用户名和相应的密码，并且还可以把它发送出去！！！ 下面我们做的实例！ 网上实例攻击论坛 1.早期的论坛，有些论坛会用允许用户在留言的时候使用