实验室：用URL参数预先填写的表单输入数据的点击夹克

学徒

该实验室扩展了基本点击劫机示例在实验室：使用CSRF代币保护的基本点击夹克。实验室的目的是通过使用URL参数预先处理表单来更改用户的电子邮件地址，并诱使用户无意中单击“更新电子邮件”按钮。

要解决实验室，请制作一些HTML，以将帐户页面构成框架，并通过单击“单击我”诱饵来更新其电子邮件地址。更改电子邮件地址时，实验室将解决。

您可以使用以下凭据登录到自己的帐户：维纳：彼得

受害者将使用Chrome，因此请在该浏览器上测试您的利用。

登录到目标网站上的帐户。beplay体育能用吗
转到利用服务器并将以下HTML模板粘贴到“主体”部分：
<样式> iframe {位置：相对;宽度：$ width_value;身高：$ height_value;不透明度：$不透明度；z索引：2;} div {位置：绝对;顶部：$ top_value;左：$ side_value;z索引：1;} 测试me
对模板进行以下调整：
- 将$ URL替换为目标网站用户帐户页面的URL，其中包含“更新电子邮件”表格。beplay体育能用吗
- 将合适的像素值替换为$ height_value和iframe的$ width_value变量（我们分别建议700px和500px）。
- 将合适的像素值替换为$ top_value和$ side_value变量的诱饵Web内容，以便“更新电子邮件”按钮和“ Test Me”诱饵操作对齐（我们分别建议400px和80pxbeplay体育能用吗）。
- 设置不透明度值$不透明度，以确保目标iFrame是透明的。最初，使用不透明度为0.1，以便您可以对齐iframe操作并根据需要调整位置值。对于提交的攻击，值为0.0001。
点击店铺接着查看利用。
悬停在“测试我”上，并确保光标更改为手，表明DIV元素的位置正确。如果没有，请通过修改样式表的顶部和左侧属性来调整DIV元素的位置。
正确排列的DIV元素后，将“测试我”更改为“单击我”，然后单击店铺。
现在单击向受害者提供利用并应解决实验室。

是否想跟踪您的进度并拥有更个性化的学习经验？（免费！）

注册登录

免费注册以跟踪您的学习进度

^{已经有一个帐户？在此登录}

免费注册以跟踪您的学习进度