一、 前言
决定搭建XSS平台是因为自己想深入学习一下XSS相关的知识,多多进行实践,上网搜索了一下XSS平台有很多,但是总觉得不是很安全,这个毕竟敏感信息要传输到陌生人的服务器上,而且服务器端测试代码存在不可控性,所以决定自行搭建XSS平台做学习之用。在搭建完成后和我的导师徐松进行了交流,发现这款XSS平台除了在GitHub上有作者专业化的说明外,在网上没有任何关于这款XSS平台搭建方面的教程,最后在导师的鼓励和帮助下促成了这篇分享,也顺便记录一下自己所出现的问题方便以后回顾。
1. 什么是XSS平台
XSS平台可以辅助安全测试人员对XSS相关的漏洞危害进行深入学习,了解XSS的危害重视XSS的危害,如果要说XSS可以做哪些事情,XSS可以做js能够做的所有事情。包括但不限于:窃取Cookie、后台增删改文章、钓鱼、利用XSS漏洞进行传播、修改网页代码、网站重定向、获取用户信息(如浏览器信息,IP地址等)等。
2. 实验环境
涉及到的知识:Git、Linux基础、Apache简单配置、PHP简单配置、iptables防火墙设置
XSS平台项目名称:BlueLotus_XSSReceiver
作者:firesun(来自清华大学蓝莲花战队)
项目地址:https://github.com/firesunCN/BlueLotus_XSSReceiver
服务器操作系统:Centos 6.6
web容器:Apache
脚本语言:PHP
服务器IP地址:服务器IP地址
虚拟主机:192.168.245.133
web应用:DVWA
3. 推荐理由
推荐理由:界面布局清新、数据可阅读性好、IP获取准确、IP地址定位精准、轻量级(无需数据库)、对数据存储进行加密、GitHub开源方便与开发者交流(生命周期长)。
二、 XSS平台的搭建过程
1、安装Apache
#安装Apache
yuminstall httpd –y
#启动apache服务
servicehttpd start
#当我们在浏览器访问我们服务器时出现此页面时,代表着Apace已经安装成功
2、安装PHP
#安装PHP环境
yuminstall php –y
3、安装Git工具
#安装Git工具
yuminstall git –y
4、从GitHub克隆XSS平台源码
#删除Apache默认页面
rm -Rf/var/www/*
#在www目录下创建网站文件夹
mkdir/var/www/xss
#从GitHub上获取XSS平台源码
gitclone https://github.com/firesunCN/BlueLotus_XSSReceiver.git /var/www/xss/
#赋予权限
chmod –R777 /var/www/xss/