通过Web安全工具Burp suite找出网站中的XSS漏洞实战(二)

最新推荐文章于 2024-01-18 08:00:00 发布
最新推荐文章于 2024-01-18 08:00:00 发布
阅读量970 收藏 5
点赞数 1
文章标签: web安全 java php
原文链接:https://segmentfault.com/a/1190000016605693
版权
本文详述如何使用Web安全工具Burp Suite进行XSS漏洞挖掘,包括安装JDK,下载并运行Burp Suite,设置代理,抓包,漏洞扫描和验证。通过实战操作,展示从数据抓包到扫描结果分析的全过程。
摘要由CSDN通过智能技术生成

一、背景

笔者6月份在慕课网录制视频教程XSS跨站漏洞 加强Web安全,里面需要讲到很多实战案例,在漏洞挖掘案例中分为了手工挖掘、工具挖掘、代码审计三部分内容,手工挖掘篇参考地址为快速找出网站中可能存在的XSS漏洞实践(一)https://segmentfault.com/a/1190000016095198

本文主要记录利用Web安全工具Burp suite进行XSS漏洞挖掘部分,分为了设置代理,漏洞扫描,漏洞验证三个部分,其中permeate渗透测试系统的搭建可以参考第一篇文章。

二、操作概要

  1. 下载工具
  2. 设置代理
  3. 漏洞扫描
  4. 漏洞验证

三、下载工具

3.1 安装JDK环境

在本文中是使用的工具burp suite需要JAVA环境才能运行,所以需要事先安装好JAVA环境,JAVA环境安装方法本文中再赘述,读者可以自行搜索JAVA JDK环境安装

3.2 下载工具

burp suite的官网地址为:https://portswigger.net/burp/,打开官网后可以看到burp分为三个版本,分别是企业版、专业版、社区版本,在本文中笔者所使用的是专业版,参考下载地址如下:

链接: https://pan.baidu.com/s/1H1ScgZTjPosZsdgjJDM4PA 提取码: s747

下载并解压刚才所下载的zip文件,便能看到文件夹中有一些文件和文件夹,如下图所示
image

3.3 工具运行

在上图中可以看到有一个jar文件,此文件便为Java语言所开发,因此只要安装了JAVA环境即可运行,不管是windows还是mac都可以运行此程序,双击BurpUnlimited.jar打开此程序,打开之后会有一个提示,如下图所示

image

在提示框中告知该程序为破解版本,仅用来学习,如果可以请购买正版,这里点击确定按钮

最低0.47元/天 解锁文章
weixin_33774308
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
burpsuite 系统漏洞扫描工具
11-28
burpsuite web系统漏洞扫描工具,windows系统下安装,扫描网站系统漏洞
安全扫描工具_【BurpSuit】WEB应用安全测试工具的引入
weixin_39864373的博客
12-13 229
随着公司体量的增长,系统的安全性逐步受到重视,Web应用作为公司的系统的一个分支,性能和安全性的测试已经提上日程。现打算引入一款WEB应用的安全性测试工具--BurpSuit。 该工具作为国外应用较为成熟的一款网络安全测试工具,在WEB漏洞扫描、回归扫描、可扩展性、持续集成和手动工具方面都有可靠的应用和较好的体验,对于公司目前的WEB安全测试非常合适,现对Bu...
记录存在 XSS漏洞网站列表
weixin_30649641的博客
06-11 462
http://www.xssed.com/archive/special=1/ 转载于:https://www.cnblogs.com/allyesno/archive/2007/06/11/779451.html
DOYO网站xss漏洞测试
明哥哥知识分享
08-27 1184
一、寻找xss漏洞 一般想获取最高权限,就要找存储型xss漏洞,这样的漏洞是服务器和浏览器进行数据交换的,有利于数据写入进去。一般留言板、评论区可能性最大。 1、评论区 <script>alert(1111)</script> 弹出1111,证明咱们找到评论区xss漏洞了。并且代码也执行了。 2、留言板 aaaaa<script>alert(222)</script> 由于这个留言需要管理员审查,我们去后台看一下,有没有弹窗。
web漏洞--xss攻击(跨站脚本攻击漏洞
xsh951103的博客
01-07 3536
1.概述 XSS(cross site script)或者说跨站脚本是一种Web应用程序的漏洞,恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 2.风险 1.盗取用户cookie,然后伪造用户身份登录,泄漏用户个人身份及用户订单信息。 2.操控用户浏览器,借助其他漏洞可能导致对https加密信息的破解,导致登录传输存在安全风险。 3.结合浏览器及其插件漏洞,下载病毒木马到浏览者的计算机上执行。 4.
各大CMS网站模板--练习web渗透必备.zip
12-11
Web渗透测试是一种模拟攻击者行为,对网站进行安全性评估的方法,以找出潜在的安全漏洞并防止真实攻击的发生。各大CMS网站模板作为练习web渗透的靶场,为测试人员提供了实战演练的环境,让他们能够学习如何发现和...
安全防御」我的Web应用安全模糊测试之路 - 攻防靶场.zip
11-27
在网络安全领域,Web应用安全模糊测试(Fuzzing)是一种常用的方法,用于发现软件漏洞和潜在的安全问题。本文将围绕“我的Web应用安全模糊测试之路”这一主题,结合攻防靶场的实践,深入探讨相关知识点。 首先...
WEB渗透测试入门.rar
03-07
3. 漏洞扫描:使用自动化工具如Nessus、OpenVAS进行漏洞扫描,找出可能存在的安全问题。 4. 手动渗透测试:对扫描结果进行深入研究,执行诸如SQL注入、XSS跨站脚本、文件包含等攻击测试。 5. 身份验证绕过:测试...
Web服务器渗透实战.rar
06-20
4. **渗透测试工具**:如Burp Suite、Nessus、Metasploit等,它们用于扫描、探测和利用Web应用漏洞。熟悉这些工具的使用,可以提高渗透测试的效率。 5. **权限提升**:一旦找到一个入口点,渗透测试者可能尝试通过...
Mutillidae II 实验指导书.rar
11-17
- 自动化工具:使用扫描器如Nessus或Burp Suite自动发现安全问题。 - 模糊测试:通过输入随机或异常数据,检测程序崩溃或异常响应,找出潜在漏洞。 - 渗透测试框架:像Metasploit这样的框架,可以帮助自动化攻击...
漏洞学习——XSS】Edmodo网站XSS漏洞
Fly_鹏程万里
03-07 953
各位漏洞猎人好! 在这篇文章,我将告诉你我是如何在Edmodo(一个教育互动平台)发现XSS的。 这个漏洞是我一个月前发现的。Parth Shah写的一篇关于存储型XSS的文章启发了我。 在我浏览edmodo.com网站时,发现了以前从未见过的URL,页面只有一个登录页面和一个简单且过时的布局。嗯,看样子可能存在漏洞。所以,让我们开始吧! 那个页面的URL如下: 目标URL:ht...
xss漏洞开源网站
先剃度再出家
01-22 3248
链接:https://pan.baidu.com/s/1VcV98H2arVz7nogCeij7LQ 提取码:dyog 复制这段内容后打开百度网盘手机App,操作更方便哦
XSS漏洞xss.haozi.me靶场通关
最新发布
qq_68163788的博客
01-18 2100
xss.haozi.me是一个专门用于测试和学习跨站脚本(XSS漏洞的靶场。XSS漏洞是一种常见的Web安全漏洞,攻击者通过在网页注入恶意脚本,可以获取用户的敏感信息,如Cookie、会话令牌等。 通关xss.haozi.me靶场意味着成功利用了该靶场XSS漏洞,并完成了相应的任务。在这个过程,你需要利用各种XSS漏洞,包括反射型XSS、存储型XSS等,来实现跨站脚本攻击,并获取相应的flag或者完成指定的任务。 通过通关xss.haozi.me靶场,你可以提升自己的Web安全技能,了解XSS
一个小众搞笑的xss漏洞练习平台
qq_35664104的博客
08-12 761
XSS是当今网络安全事件数量最多的攻击方式,虽然其危害性不高,但主要和其他攻击手段相结合,以实现一个复杂的攻击场景。那么,XSS是什么? XSS全称跨站脚本(Cross Site Scripting),较合适的方式应该叫做跨站脚本攻击跨站脚本 攻击是一种常见的web安全漏洞,它主要是指攻击者可以在页面插入恶意脚本代码,当受 害者访问这些页面时,浏览器会解析并执行这些恶意代码,被用于进行窃取隐私、钓鱼欺 骗、窃取密码、传播恶意代码等攻击。 XSS攻击使用到的技术主要为HTML和Javascript,也
使用Burp Suite进行XSS渗透测试 (只为自己做个备忘,甚读)
zkwniky的博客
09-01 6119
使用Burp Suite进行XSS渗透测试 测试环境:webgoat burp Suite 测试网址:http://192.168.1.104:8080/WebGoat/start.mvc#attack/1406352188/900 1)在输入框输入!@#$[]()"",返回 * Whoops, you entered [!@#$[]()""] instead of your thr
XSS漏洞的挖掘
qq_39654116的博客
01-17 643
目录黑盒测试白盒测试(代码审计)XSS的攻击载荷XSS可以插在哪里tips 黑盒测试 尽可能找到一切用户可控并且能够输出在页面代码的地方,比如下面这些: URL的每一个参数 URL本身 表单 搜索框 常见业务场景 重灾区:评论区、留言区、个人信息、订单信息等 针对型:站内信、网页即时通讯、私信、意见反馈 存在风险:搜索框、当前目录、图片属性等 白盒测试(代码审计) 关于XSS的代码审计主要就是从接收参数的地方和一些关键词入手。 PHP常见的接收参数的方式有$_GET、$_POST、$_REQUE
xss漏洞发现及利用
continue my dream
09-04 7195
漏洞描述:在使用标签(tag)进行浏览时,由于没有很好的过滤用户输入(tag关键字)造成xss跨站漏洞,用户自定义的版块tag搜索和全局tag搜索列表。 利用形式1: http://clin003.com/web2/?u=Club_talk_list&tag=alert(111) 其http://clin003.com/web2/为网站连接,Club_talk_list为用户自定义版块。
XSS攻击
郭先生的博客
09-12 334
xss 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS攻击     XSS攻击类似于SQL注入攻击,攻击之
85.网络安全渗透测试—[常规漏洞挖掘与利用篇1]—[xss漏洞挖掘-测试与利用]
qwsn
01-25 5621
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、xss漏洞测试与利用 1、相关概念 2、xss漏洞类型 3、xss漏洞测试 4、xss漏洞利用原理:`盗取COOKIE` 5、xss漏洞利用示例:`盗取COOKIE` 6、xss漏洞利用原理:`基础认证钓鱼` 7、xss漏洞利用示例:`基础认证钓鱼` 8、xss漏洞利用原理:`键盘记录器` 9、xss漏洞利用示例:`键盘记录器` 10、关闭浏览器XSS防护机制 11、思考
BurpSuite实战指南》:详尽文教程带你精通Web安全工具
通过阅读《BurpSuite实战指南》,读者不仅能学习到工具的使用方法,还能了解到安全渗透测试的最佳实践,提升自身的网络安全技能。作者的目标不仅是分享知识,更是希望能填补文资源的空白,为web安全领域的研究者和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值