靶场科普 | XSS实战之carbon

发表时间:2022-02-21 17:27

本文由“东塔网络安全学院”总结归纳

靶场介绍:

XSS实战之carbon


今天,给大家介绍一下“东塔攻防世界”其中的一个靶场:“XSS实战之carbon”。

一、实验介绍

1.基本概念

1)Carbon Forum,一个高性能的、高安全性的、基于话题的PHP轻论坛。优秀的架构,高效的代码,每个页面平均执行时间仅为1~5毫秒,同时恰当地使用异步加载技术,在SEO与用户体验间取得平衡。2)论坛摒弃了版块、节点等概念,发帖时无需选择板块,系统根据帖子内容自动推荐话题供用户选择,并且有功能强大而不显冗余的富文本编辑器。

3)支持关注用户、关注话题等功能,可以作为一个社交网站使用。

2.XSS原理

XSS又叫CSS,跨站脚本攻击,它是指攻击者利用网页开发时留下的漏洞,恶意攻击者往web页面插入恶意Script代码,当用户浏览该网页之时,嵌入其中的Web里面的script代码会被执行,从而达到恶意的特殊目的。

靶场科普 | XSS实战之carbon


二、实验目的

1.深入理解跨站脚本攻击概念;

2.熟悉carbon的基本概念;

3.掌握对跨站脚本的防御方法。

三、实验步骤

1.启动靶场,查看实验环境,注册一个账号abc123;

2.在网站上发布新帖。

四、防御方式

1.使用过滤器,拦截所有请求,重写request;
2.重写获取值的方法,将特殊代码转换成html。