我正在通过 WebGoat 练习来更新我对 XSS 攻击的知识。
具体来说,我正在进行第 1 阶段 XSS 练习。这个练习有一个故意不清理输入的形式。解决方案视频展示了使用 JavaScript 警报功能发出消息和会话 cookie。
Stage 3 有一个内置的 XSS 代码片段,在查看配置文件时将显示“document.cookie”的内容。
在任何现代浏览器中,都没有任何附加组件,我无法让它执行。我可以使用 JavaScript 警报生成消息,但它从不打印 document.cookie 的内容
此页面上获取 cookie的教程显示可以在 JavaScript 警报消息中打印 document.cookie 的内容。
我想知道的是为什么我不能在一个非常简单、故意易受 XSS 攻击的 Web 应用程序中做同样的事情。所有现代浏览器中是否有一些 XSS 检测可以防止这种情况发生?我已经尝试使用他的选项来禁用 IE、Firefox 和 Chrome 上的网络安全,这没有任何区别。
编辑:我为 WebGoat 5.4 和 WebGoat 6.0.1 尝试过的东西:
- 使用新的默认配置文件和无插件通过 Firefox 访问
- 带有 --disable-web-security 和/或 --disable-xss-auditor 参数的 Chrome
- 通过 Mantra 访问
- 在我的请求中将 X-XSS-Protection 标头设置为 0。
WebGoat 是否试图教授不再构成威胁的 XSS 攻击?
第二次编辑:
根据 Martin 的回答,我尝试手动设置标题,如下面的屏幕截图所示。我修改了课程标题,因此很明显 fiddler 正确拦截了页面。
cookie 未设置为 secure3 或 httponly,但拒绝通过 JavaScript、书签或 Scratchpad 从任何浏览器读取。cookie 已在浏览器中正确设置,并可在浏览器 cookie 对话框中查看。
这个 cookie 的什么属性阻止它被读取?
