一、背景
笔者6月份在慕课网录制视频教程XSS跨站漏洞 加强Web安全,里面需要讲到很多实战案例,在漏洞挖掘案例中分为了手工挖掘、工具挖掘、代码审计三部分内容,手工挖掘篇参考地址为快速找出网站中可能存在的XSS漏洞实践(一)https://segmentfault.com/a/1190000016095198
本文主要记录利用Web安全工具Burp suite进行XSS漏洞挖掘部分,分为了设置代理,漏洞扫描,漏洞验证三个部分,其中permeate
渗透测试系统的搭建可以参考第一篇文章。
二、操作概要
- 下载工具
- 设置代理
- 漏洞扫描
- 漏洞验证
三、下载工具
3.1 安装JDK环境
在本文中是使用的工具burp suite需要JAVA环境才能运行,所以需要事先安装好JAVA环境,JAVA环境安装方法本文中再赘述,读者可以自行搜索JAVA JDK环境安装
;
3.2 下载工具
burp suite的官网地址为:https://portswigger.net/burp/,打开官网后可以看到burp分为三个版本,分别是企业版、专业版、社区版本,在本文中笔者所使用的是专业版,参考下载地址如下:
链接: https://pan.baidu.com/s/1H1ScgZTjPosZsdgjJDM4PA 提取码: s747
下载并解压刚才所下载的zip文件,便能看到文件夹中有一些文件和文件夹,如下图所示
3.3 工具运行
在上图中可以看到有一个jar文件,此文件便为Java语言所开发,因此只要安装了JAVA环境即可运行,不管是windows还是mac都可以运行此程序,双击BurpUnlimited.jar
打开此程序,打开之后会有一个提示,如下图所示
在提示框中告知该程序为破解版本,仅用来学习,如果可以请购买正版,这里点击确定
按钮