目录
简介
优点:使用burp自动测试xss漏洞速度会比自己手动快速
缺点:会产生大量访问请求,如果是存储类型会污染网站
如何避免:摸清网站的规则,自己写规则,在本地批量测试
批量测试可以使用bp,验证使用phantomjs浏览器(成功会对其进行标记但在bp中需要安装插件),工具测试完成需要复测(弄完之后需要关闭插件否则会很慢)
工具介绍
代理地址(浏览器没改就不改这是默认)和字符(可以改也可以默认)
payload括号里大写部分是要执行的代码(可自行添加)
工具使用
添加位置
直接使用bp查看会很麻烦,因为需要一个个进行查看
打开扩展
设置位置的方式不变
设置扩展
需要添加字符
设置完成之后开始攻击,出现1则表示响应
注:使用完之后记得关闭
Burp主动扫描
默认情况下bp扫出来的不是很全而且较慢,但是可以使用插件进行补充
右键点击
在页面访问的时候,将所有内容都点击一下随后再进行整个网站扫描(扫描整个网站时需要把登录等功能删除掉)
这里只对其一进行扫描,因为扫描过程很慢
扫描完成
可在目标中查看