xss钓鱼演示
实验思路:
我们会用basic认证来做一个钓鱼的场景
我们可以在存在着xss漏洞的页面里面嵌入一个请求,当用户打开这个嵌入了恶意代码的页面,用户的页面就会弹出图中的登陆框,如果用户的安全意识不太够,那么就会把账号和密码发送到我们的pkxs后台
我们在pikachu的储存型XSS上来做演示,输入这个payload
点提交后
因为他是个存储型xss,所以我们的留言板里已经留下了,所以我们刷新一下后会发现每次我们访问这个页面都会弹出这个登陆的框
用户如果在这个地方输入账号密码的话,就会被我们后台的软件给获取到