山东大学网络攻防实验四知识.pdfVIP

山 东 大 学 学 生 实 验 报 告 学 院： 计算机学院 课程名称： 网络攻击与防范 专业班级： 计算机 学 号： 姓 名： 1 学生实验报告() 学生姓名 学号 同组人： 无 实验项目 XSS攻击 ■必修 □选修 □演示性实验 □验证性实验 ■操作性实验 □综合性实验 实验地点 实验楼410 实验仪器台号 指导教师 实验日期及节次 2016.5.26 一、实验综述 1、实验目的及要求 XSS攻击是一种基于网页应用的攻击，这种攻击通过攻击者给受害者网页浏览器注 入恶意代码实现的。通过恶意代码，攻击者可以得到受害者的信任，比如cookies。 我们通过建立网页应用Elgg实现XSS攻击。 2、实验仪器、设备或软件 1. SEEDUbuntu12.04 2. VMware Workstation 10.0.1 3. Elgg web application 4. Firefox with LiveHTTPHeaders extension 二、实验过程 （实验步骤、记录、数据、分析） 2.1在窗口中显示恶意代码 这个实验的目的是在Elgg的profile中注入恶意代码，当别人查看你的profile 时，注入的JavaScript代码将在另一个窗口中显示。如果你想运行的代码很长， 可以通过插入已经存储js文件，在js文件中实现恶意代码。 Part1：直接嵌入恶意代码 实验步骤： 1.访问Elgg并以alice身份登入，修改alice的profile并注入script. 2 2.alice退出，其他身份登入并访问alice的profile Part-2使用脚本文件 1.配置DNS即修改/etc/hosts文件 可以看到， “ ”已经被加入到文件中。 3 2.配置Apache server，修改/etc/apache2/sites-available/default，添加如下 代码，创建example文件夹。 3.在/www 目录下添加Example目录，复制/www下的index.html，并创建myscript.js 文件，在文件中添加如下内容： 4.访问 以测验是否可正常访问 可以正常访问。 4 5.访问Elgg，以samy身份登入并修改samy的profile，在Location 中添加如下 代码 6.访问Elgg,以alice身份登入并访问samy的profile，显示出.js文件中注入的 代码。 2.2注入恶意代码显示cookies 这个实验的目的是在Elgg的profile中嵌入JavaScript代码，当其他人访问你的 信息时，他的cookie将显示在弹窗中，可以通过在以前的工作中增加代码实现。 实验步骤: 1.访问Elgg 以alice身份登入，并修改Alice的profile，添加如下代码 5 2.访问Elgg 以samy身份登入，并访问alice的profile，显示cookie 2.3窃取受害者的cookies 以前的工作时在网页中嵌入js代码，但看到受害者cookie的并不是攻击者。这个 实验中，攻击者将把cookie发送给自己，注入的恶意代码需要发送一个HTTP请求 给攻击者，这个请求附带着cookies。 我们通过插入有src属性的imgtag的恶意js代码并发送给攻击者。当js插入 img项时，浏览器将从src处加载img 图像，这些结果在HTTP GET请求中发送给 攻击