run_boy_2022的博客

xss.js是phantomJS检测xss漏洞的具体实现，进入phantomjs-2.1.1-windows\bin目录打开cmd，执行 phantomjs.exe xss.js 命令设置监听。在Intruder的执行界面上，我们可以通过xss_result来查看payload的检测情况，那些响应报文中存在漏洞标志的均被打√显示出来。开始后，可以看下我们之前phantomjs.exe xss.js 这个命令控制台是否有日志输出。便于我们从控制台观察结果。结果发现系统还是ok的，xss_bug列没有√。

Cross-Site Scripting（跨站脚本攻击）简称 XSS，是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本，使之在用户的浏览器上运行。利用这些恶意脚本，攻击者可获取用户的敏感信息如 Cookie、SessionID 等，进而危害数据安全。为了和 CSS 区分，这里把攻击的第一个字母改成了 X，于是叫做 XSS。XSS 的本质是：恶意代码未经过滤，与网站正常的代码混在一起；浏览器无法分辨哪些脚本是可信的，导致恶意脚本被执行。

CSRF(Cross-Site Request Forgery) ,通过单词简单理解就是跨站点请求伪造，用通俗简单点就是攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的操作1、用户打开浏览器访问受信任网站A，输入用户名和密码请求登录网站A；2、在用户信息通过验证后，网站A产生Cookie信息并返回给浏览器，此时用户登录网站A成功，可以正常发送请求到网站A；3、用户未退出网站A之前，在同一浏览器中，打开一个TAB页访问网站B；

在搜索选项 network.proxy.allow_hijacking_localhost jiang 将false修改为true，双击打开我们的burpsuite工具，将这里的监听端口改为8008。火狐浏览器地址栏添加 about:config。这样本地请求就可以监听到了。下载火狐浏览器设置网络代理。打开百度，浏览器提示这个。双击该选项就会为true。