web安全技术-实验七、跨站脚本攻击（xss）（反射型）.doc

web安全技术-实验七、跨站脚本攻击（xss）（反射型） 实验内容： 跨站脚本（cross site script）为了避免与样式css混淆，所以简称为XSS。 一种经常出现在web应用中的计算机安全漏洞，也是web中最主流的攻击方式。那么什么是XSS呢？ XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点，进而添加一些代码，嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。 从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。 （1）、漏洞发现 （2）、漏洞的利用 实验过程(请用简单的文字描述)： 1,首先了解XSS漏洞的基本原理与基本使用方式 2，配置PHP环境 3，运行DVWA靶场 4，将安全等级设为low 5,在XSS(Reflected)模块中进行xss漏洞测试 实验详细操作步骤或程序清单： 检测是否存在XSS漏洞 scriptalert(‘检测XSS’)/script 弹出用户的cookie img src=1 onerror=alert(document.cookie) scriptalert(document.cookie)/script 在当前页插入另一站点 iframe sttp//calhos/sstest aspiframe 可以使用onload属性或其他更加模糊的属性（如属性）在标记内部传递XSS有效内容background body onload=alert(XSS) 实验环境： wampserver PHP环境 DVWA靶场 实验结果(上传实验结果截图或者简单文字描述)：  疑难小结(总结个人在实验中遇到的问题或者心得体会)： 心得体会：通过实践更加理解了跨站脚本的原理，并且能够发现xss跨站脚本漏洞的挖掘和利用，了解了xss的修复方法