本文介绍了如何利用AWVS扫描出来的漏洞,包括Referer跨站、GET类和POST型跨站攻击的模拟过程。通过火狐浏览器结合HackBar、FoxyProxy和Burp Suite等工具进行漏洞利用演示,并详细讲解了AWVSAPI配置、证书导入以及Burp Suite的设置与异常处理。同时,提到了数据库连接错误的解决方案。
1.利用Referer跨站攻击漏洞模拟
工具:火狐浏览器+HackBar插件
漏洞情况☞☞☞
漏洞模拟☞☞☞
打开火狐浏览器(安装了hackBar插件)-->F12-->
录入url,及referer信息->点击执行则会弹出alert信息。
2.get类跨站攻击漏洞利用模拟
工具:火狐浏览器+FoxyProxy插件+Burp Suite
漏洞情况☞☞☞
漏洞模拟结果☞☞☞
http://www.chinalawedu.com/wangxiao/xxs/2010/main.asp?id=xgs&number=41%27%22%3E%3C/iframe%3E%3CScRiPt%20%3Ealert(9250)%3C/ScRiPt%3E
【源代码片段】
先将iframe闭合
3.Post型跨站攻击漏洞利用模拟
工具:火狐浏览器+HackBar插件
漏洞情况☞☞☞
漏洞模拟☞☞☞
点击5后,表示存在跨站攻击漏洞
【工具篇】
批量加入扫描站点,可以使用awvsapi插件
主要是配置key
[config]
host=https://192.168.*.*:3443/
key=1986ad8c0a5b3df4d7028d5f3c06e936c563cfdf3b5814b8eac2daf025f****af
分隔符=[+]
key获取:
Administrator->Profile->API Key->copy即为上面配置文件的key
【burp配置https证书之火狐浏览器/firefox浏览器】
火狐浏览器下载https证书:
访问->http://127.0.0.1:8080->CA Certificate下载证书
火狐->选项->隐私安全->证书->导入证书
如果需要删除重新加载,则找到名字为:PortSwigger的证书,删除即可。
添加证书时一定注意,要勾选信任由此证书……标识的网站,否则,https请求依然无法访问。另外,加载完证书后,需要重启浏览器证书方可生效。
【burp使用】
1.返回结果中文乱码,修改中文显示乱码
options->display->http Message Display->任意选一个中文font即可
【异常】
1.Database connection error (awvs Acunetix)
我的场景是C盘空间满了,数据库服务自动停止了。
清理一下存储空间,重启一下DB服务就好了。
计算机->右键管理->服务->重启Acunetix Database
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
