我正在做關於XSHM(跨站點歷史操作)的項目。如何使用本地主機演示SOP的利用方式
我想說明如何使用XSS(跨站點腳本)可以違反標準操作規程。我已經在沙箱XP機器內建立了一個本地主機(WAMP)服務器(必須符合道德標準),並且使用簡單的登錄腳本,這容易受到XSS攻擊。
問題)我想表明,注射邪惡的JavaScript代碼到登錄頁面後,我可以向用戶發送的cookie另一個起源,但我怎麼能做到這一點使用本地主機服務器?
如果本地主機是一個原點(即受害者的網站),我怎麼能創造另一個原點(即壞傢伙網站)不同的本地主機發送cookie來?我知道在相同的起源要求(協議,端口和域)是相同的。我不能更改爲HTTPS本地主機和HTTP本地主機,因爲我沒有證書。我似乎無法根據需要更改端口號:80 for web。
我不想使用真正的網站網站併發送cookie到本地主機腳本,因爲這將是不道德的,也不能執行攻擊,因爲它不會有XSS漏洞證明利用。
任何想法?
您是否使用IIS進行託管? – Deestan
@Deestan WAMP是適用於Windows的Apache + MySQL + PHP安裝程序。 –