xssshell平台使用以及Burpsuit 抓包辅助查过滤

最新推荐文章于 2024-04-10 17:08:10 发布
最新推荐文章于 2024-04-10 17:08:10 发布
阅读量1k 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/t_i_m_e/article/details/79782246
版权

XSSShell配置过程

地址填写XSSShell地址,然后让别人点击这个js脚本,平台会接受到cookie,或者在可能存在XSS注入的地方将这条shell插入。

点击后如图所示:

 尝试左侧命令


Alert执行界面




利用Burp 看XSS注入网站过滤内容

先将火狐浏览器挂上代理,不赘述

在BWAPP博客XSS注入界面输入任意内容后抓包



post型数据包内容如下


将数据包放入burp intruder中

在输入内容处添加注入点


加载字典



之后burp会对符号逐个尝试


在结果中可以看到,该网页对();\//-->#不过滤


t_i_m_e
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用Burpsuite进行和改
悦分享
07-09 1万+
一、建立burpsuite和浏览器的连接1. 打开burpsuite工具,在proxy中的Option下,看到对应的Interface为127.0.0.1:8080。与浏览器代理设置相同端口,保存。2. 在浏览器中的Internet Option中设置相同的IP地址以及端口号。3. 设置好之后,就可以开始了。在burpsuite中的Proxy中的Intercept中进行。4. 在浏览器中输入自己的用户名Yolanda 相当在浏览器端发送请求这样,burpsuite端就可以到浏览器端的请求消息 二、
渗透测试之BurpSuite工具的使用介绍(一)
cmdos的专栏
03-13 1583
一、BurpSuite功能模块介绍:Proxy——是一个拦截 HTTP /S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,看,修改在两个方向上的原始数据流。Spider——是一个应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。Scanner[仅限专业版]——是一个高级的工具,执行后,它能自动地发现 web应用程序的安全漏洞。Intruder——是一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用 fuzzing技术探测常
使用Burp Suite进行XSS渗透测试 (只为自己做个备忘,甚读)
zkwniky的博客
09-01 6104
使用Burp Suite进行XSS渗透测试 测试环境:webgoat burp Suite 测试网址:http://192.168.1.104:8080/WebGoat/start.mvc#attack/1406352188/900 1)在输入框中输入!@#$[]()"",返回 * Whoops, you entered [!@#$[]()""] instead of your thr
burp suite简单使用(网页拦截)
2301_80706248的博客
04-10 370
burp suite简单应用。
[GXYCTF2019]Ping Ping Ping
rang的博客
10-18 208
通过大佬的博客学习知道怎么绕过 命令执行漏洞利用及绕过方式总结 首先使用burp看看过滤了什么字符 基本上大部分字符都被过滤了,就很烦人 尝试构造?ip=127.0.0.1;ls 发现有两个东西 ?ip=127.0.0.1;ls flag.php 发现被过滤 空格和flag都被过滤了 用刚才学到的${IFS}绕过 可能{}也被过滤了 用$IFS$1绕过 在网上看到源码 发现bash也被过滤 还好sh可以利用 ?ip=127.0.0.1;echo$IFS$1Y2phpF0IGZsYWcuc
Burp Suite_过滤设置详解
weixin_41244495的博客
02-14 7705
1.点击target 2.点击scope 3.在include in scope 中添加要显示的请求 点击add,可以在host or ip range中填写你需要看的请求 host名或者ip 或者端口,支持正则式 3.在exclude from scope中可以设置对应的不想看的请求 4.然后在proxy -> history中,点击filter,在filter b...
JSP使用过滤器防止Xss漏洞
10-17
本文将详细介绍如何使用过滤器(Filter)在JSP中有效地防止XSS攻击。 首先,我们需要了解XSS攻击的基本原理。当用户在Web表单中输入数据,这些数据未经适当的验证和编码直接显示在页面上时,攻击者可以通过注入恶意...
xss 平台 源码资源打
最新发布
06-26
【描述】"xss 平台已经开源,上传源码,方便大家研究"说明这个平台的开发者已经公开了其源代码,这为学习者提供了一个实践和探索的绝佳机会。源码的开放性意味着任何人都可以看、分析、调试甚至改进代码,以增进...
使用Django简单编写一个XSS平台的方法步骤
09-19
主要介绍了使用Django简单编写一个XSS平台的方法步骤,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Springboot配置XSS过滤器XssFilter.zip
12-31
直接可以运行,含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
Burp(BurpSuite)设置只取和不取域名小技巧
weixin_55505454的博客
09-04 4778
在Burp经常出现想个目标,结果中间夹杂着一大堆无关的,像Firefox和Chrome的官方的心跳、通信等,让人很烦,这里有几个方法可以应对这种情况。
CSDNBLOG的小小Bug一条
i love this programme
12-17 563
在地址栏输入: http://blog.csdn.net/register.aspx你就可以随心所欲的注册。欢迎来我的个人站点: http://www.yxblog.com
burpsuite检测xss漏洞
夜车星繁的博客
07-17 7599
burpsuite检测xss漏洞 XSS(跨站脚本攻击)漏洞是Web应用程序中最常见的漏洞之一,它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的,比如获取用户的cookie,导航到恶意网站,携带木马等。根据其触发方式的不同,通常分为反射型XSS、存储型XSS和DOM-base型XSS。漏洞“注...
BurpSuit之XSS检测
无远弗届
03-10 5859
跨站脚本攻击(Cross Site Scripting)是一种将恶意Javascript代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。今天主要详细讲述如利用Burp+PhantomJS进行XSS检测。 环境准备 BP插件安装 在burpsuit的Extender模板下,找到BApp Store,搜索XSS Validator,进行安装即可。如下图所示: phantomjs安装...
burp suite 使用 xssvalidate
thatqier
04-11 1848
配置插件xssValidator使用插件代理功能(目的是取真实的http请求报文)配置好浏览器代理地址后发起请求,burp会捕获到请求,点击forward找到对应的请求历史记录,并发送到intruder配置payloads为xssValidator配置options的grep – match对应字符串的出处修改请求参数,并开始xss扫描看单独的结果(有勾选的就是有xss漏洞的)把对话框出现的u...
BurpSuite暴力破解结果过滤
foryouslgme的博客
09-23 6353
BurpSuite暴力破解大家应该都很熟悉了,甚至是破解结果过滤都很清楚(其实破解结果过滤也很简单),只是操作稍微有一点点不人性化,容易让人理解错误,这里只是为了给自己做个记录。 破解结果分析 在日常工作中,常常只验证某接口是否存在暴力破解漏洞即可,都是使用几个、十几个数据进行测试,这样测试结果一目了然,但是在真实环境中,往往都需要大量数据进行暴力破解,那最难就是从众多结果中筛选出正确的数...
burp小技巧-如何过滤不想分析的请求,指定分析请求
热门推荐
网络安全领域优质创作者
05-08 1万+
场景发生如下: 我需要某个app分析具体的参数和请求,但是该app类似于股票那种,会不停的发起非常多的请求显示k线,我想要的请求没法很好的分析,浪费很多时间,于是,借助burp的范围功能,进行了过滤。记录一下解决方案。 目标:取手动点击的请求,过滤自动发起的请求。 一、设置域名范围 二、复制需要过滤的请求 三、添加到从范围中排除 四、点击过滤器打勾仅在范围内...
burpsuite只拦截特定网站数据教程
weixin_34267123的博客
05-11 9527
一、背景说明 在配置burpsuite代理截时经常会遇到这样的情况: 浏览器经常自己发一些(收集用户信息),干挠渗透测试人员对目标网站的检测; 如果是代理手机,那就是很多APP都时不时发一些,干挠渗透测试人员对目标APP的检测。   浏览器和APP发我们是不好限制,但burpsuite有只拦截指定的网站的数据,其他网站的数据默认放行的配置。   二、操作说明 启动burpsuite--...
burp 设置过滤
木灵的专栏
12-24 8402
burp 设置过滤 1.点击target 2.点击scope 3.在include in scope 中添加要显示的请求     点击add,可以在host or ip range中填写你需要看的请求 host名或者ip 或者端口,支持正则式 3.在exclude from scope中可以设置对应的不想看的请求 4.然后在proxy -> history中,点击fi
burpsuitapp
06-07
Burp Suite是一款功能强大的网络应用程序安全测试工具,由PortSwigger Software开发。它主要用于渗透测试、Web应用安全评估和HTTP/HTTPS协议分析。Burp Suite括几个核心组件: 1. **Burp Suite Intruder**:用于执行各种类型的攻击(如SQL注入、XSS等)并分析响应,是进行自动化或手动的安全测试的强大工具。 2. **Burp Suite Repeater**:这是一个网络请求代理器,允许用户发送HTTP/HTTPS请求,看服务器响应,并进行修改和调试。 3. **Burp Suite Spider**:自动发现Web应用程序的页面链接,用于进行动态分析和漏洞扫描。 4. **Burp Suite Proxy**:透明或插件式代理服务器,可以在浏览器和应用程序之间提供安全通道,捕获和修改网络流量。 5. **Burp Suite Extensions**:提供了大量的插件,覆盖了从加密解码到API分析的各种功能。 使用Burp Suite,安全专家能够深入理解和分析网站的工作原理,找并修复潜在的安全漏洞。它常被用于网络安全研究人员、渗透测试师以及开发人员进行安全审计和教育用途。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值