使用BurpSuite测试XSS漏洞

最新推荐文章于 2024-04-12 14:55:02 发布
最新推荐文章于 2024-04-12 14:55:02 发布
阅读量402 收藏 7
点赞数 5
文章标签: xss 前端 macos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57775457/article/details/136963852
版权
1、安装XSS Validator插件进行XSS漏洞检测

在这里插入图片描述

2、下载phantomjs

Download Phantomjs

3、下载xss.js

Download xss.js

4、将xss.js文件放在目录下phantomjs安装包路径下

在这里插入图片描述

5、xss.js是phantomJS检测xss漏洞的具体实现,进入phantomjs-2.1.1-macosx\bin目录下,执行xss.js文件

注:若phantomjs-2.1.1-macosx/bin目录没有在你的PATH环境变量中,可能需要使用完整路径来执行xss.js

/Users/muwenping/Security/phantomjs-2.1.1-macosx/bin/xss.js
6、若控制台没有报错,说明安装成功

在这里插入图片描述

7、其他的参数我们都采取默认配置,只修改Grep Phrase和JavaScript functions两个参数: Grep Phrase修改为xss_bug,作为检测标志和列表头。 JavaScript functions中我们仅使用alert,便于我们从控制台观察结果。

在这里插入图片描述

8、配置完插件之后,我们需要配置Intruder,并指定Grep Phrase的值。

在这里插入图片描述
在这里插入图片描述

9、Intruder的payload生成器需要设置为xssValidator的

在这里插入图片描述
在这里插入图片描述

10、开始测试

在这里插入图片描述

11、检查控制台是否有日志输出

在这里插入图片描述

12、检查intruder attack 界面结果列是否有请求进来

在这里插入图片描述
在Intruder的执行界面上,我们可以通过xss_bug来查看payload的检测情况,如果响应报文中存在漏洞标志,那么xss_bug列均会被打√显示出来

You Are The Reason
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
使用BurpSuite测试访问控制
大河之犬的博客
01-22 73
Burp Proxy 允许您配置匹配和替换规则,这些规则在您使用 Burp 的浏览器正常浏览目标应用程序时自动修改您的请求和响应。3、复制wiener的session到gregg的用户请求,出现302跳转,代表不存在水平提权漏洞测试水平访问控制同权限提升的方法一致,不同的是水平访问控制对应的是两个权限相等的账户。如果没有适当的访问控制,攻击者就可以操纵这些引用,并在未经授权的情况下访问其他对象。将低权限用户的 Cookie 粘贴到管理面板请求中,替换Cookie。查找低权限用户的最新请求。
渗透测试工具之:BurpSuite_burpsuite渗透测试
m0_59598029的博客
10-11 694
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
渗透测试工具Burpsuite
seanyang_的博客
05-29 1489
学习文档Burp Suite是一款流行的集成式Web应用程序安全测试工具套件,广泛应用于渗透测试、安全审计、黑盒测试漏洞研究等Web安全领域。它由PortSwigger公司开发,提供可视化界面和扩展机制,支持各种安全测试,可通过代理截获HTTP和HTTPS请求,观察请求和响应,对请求进行修改和重发,协助发现和验证Web应用程序的各种漏洞,如跨站点脚本、SQL注入、文件包含等。Burp Suite包含了多个工具,如代理、重放器、爬虫、扫描器和拦截器等。
安全测试 —— 如何使用burpsuite+xray实现联动测试
最新发布
MAYUHAO1011的博客
04-12 423
目的:安全测试过程中手动分析测试与xray自动化扫描测试结合,这样可以从多层保障安全测试的分析,针对平台业务接口量大的安全测试是十分有用的,可以实现双向测试同时开始。
burpsuite检测xss漏洞
夜车星繁的博客
07-17 7534
burpsuite检测xss漏洞 XSS(跨站脚本攻击)漏洞是Web应用程序中最常见的漏洞之一,它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的,比如获取用户的cookie,导航到恶意网站,携带木马等。根据其触发方式的不同,通常分为反射型XSS、存储型XSS和DOM-base型XSS漏洞“注...
burp suite1.7.26破解版无时间限制
01-05
burp suite1.7.26破解版无时间限制 ,用于web安全性测试。 web中间人攻击 xss sql 注入 csrf 等常见漏洞 渗透测试必备
第04篇:XSS三重URL编码绕过实例1
08-03
0x01 漏洞实例某次测试中,遇到一个很奇葩的XSS,我们先来加一个双引号,看看输出:如图,可以看到,双引号被转义了,这时候是不是有种想放弃的想法,抱着尝试的状
【推荐】最新超全的渗透测试学习基础教程集合(84份).zip
08-04
03.Burp Suite工具安装配置、Proxy基础用法及暴库示例; 04.实验吧CTF实战之WEB渗透和隐写术解密; 05.IDA Pro反汇编工具初识及逆向工程解密实战; 06.OllyDbg动态分析工具基础用法及Crakeme逆向破解; 07.快手视频...
Web渗透-网络安全面试 面试宝典 2023最新版65页超全解析.pdf
10-16
1.1.1 burpsuite常用的功能是哪几个 1.1.2 reverse_tcp和bind_tcp的区别 1.2信息收集 1.2.1 拿到一个待检测的站或给你一个网站,你觉得应该先 1.2.2 你在渗透测试过程中是如何敏感信息收集的 1.2.3 你平时常去那些...
1.初探安全.pptx
06-06
5.BurpSuite 00:17:07 【七、漏洞利用工具】 1.1MetaSploitable2搭建 00:04:11 1.MetaSploit初识 00:17:39 2.MetaSploit对MetaSploitable2的攻击 00:12:03 3.MetaSploit扫描指定端口的主机 00:11:00 4.MetaSploit对...
burpsuite插件xssValidator的安装及使用XSS自动扫描工具)
weixin_42728957的博客
12-08 7794
一、安装所需环境 1、Phantomjs 下载:http://phantomjs.org/download.html 下载后配置环境变量,把bin目录下的这个exe加入环境变量 2、xss.js xss.js是phantomJS检测xss漏洞的具体实现。下载地址为:https://github.com/nVisium/xssValidator 下载完成后,将xss.js放在phantomjs同一个文件夹下 利用phantomjs运行xss.js C:\xss\phantomjs-2.1.1-window
BurpSuite工具系】使用BurpSuite一次完整的测试XSS漏洞
run_boy_2022的博客
07-21 1606
xss.js是phantomJS检测xss漏洞的具体实现,进入phantomjs-2.1.1-windows\bin目录打开cmd,执行 phantomjs.exe xss.js 命令设置监听。在Intruder的执行界面上,我们可以通过xss_result来查看payload的检测情况,那些响应报文中存在漏洞标志的均被打√显示出来。开始后,可以看下我们之前phantomjs.exe xss.js 这个命令控制台是否有日志输出。便于我们从控制台观察结果。结果发现系统还是ok的,xss_bug列没有√。
BurpSuite测试上传文件xss漏洞教程
张小凡
02-07 918
本文将演示如何利用BurpSuite来构造文件上传引起的xss漏洞
burpsuite靶场系列之客户端漏洞篇 - 跨站脚本(XSS)专题
weixin_50464560的博客
04-14 2948
https://www.anquanke.com/post/id/245953 本系列介绍 PortSwigger是信息安全从业者必备工具burpsuite的发行商,作为网络空间安全的领导者,他们为信息安全初学者提供了一个在线的网络安全学院(也称练兵场),在讲解相关漏洞的同时还配套了相关的在线靶场供初学者练习,本系列旨在以初学者视角出发对学习该学院内容及靶场练习进行全程记录并为其他初学者提供学习参考,希望能对初学者们有所帮助。 客户端漏洞篇介绍 相对于服务器端漏洞篇,客户端漏洞篇会更加复杂
Web安全测试XSS
weixin_43090420的博客
06-16 479
XSS全称(Cross Site Scripting)跨站脚本攻击,是Web程序中最常见的漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript),当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的,比如获取用户的Cookie,导航到恶意网站,携带木马等。 作为测试人员,需要了解XSS的原理,攻击场景,如何修复,才能有效的防止XSS的发生。 阅读目录 XSS是如何发生...
渗透测试工具之:BurpSuite
热门推荐
高飞的博客
11-04 32万+
BurpSuite Burp Suite 能高效率地与多个工具一起工作,例如:一个中心站点地图是用于汇总收集到的目标应用程序信息,并通过确定的范围来指导单个程序工作。 在一个工具处理HTTP 请求和响应时,它可以选择调用其他任意的Burp工具。例如:代理记录的请求可被Intruder 用来构造一个自定义的自动攻击的准则,也可被Repeater 用来手动攻击,也可被Scanner 用来分析漏洞,或者被Spider(网络爬虫)用来自动搜索内容。应用程序可以是“被动地”运行,而不是产生大量的自动请求。Burp
DVWA系列(三)——使用Burpsuite进行反射型XSS(反射型跨站脚本攻击)
橘子女侠
05-05 3779
1. XSS简介 (1)XSS(cross-site scripting) 跨站脚本攻击,通过web站点漏洞,向客户端交付恶意脚本代码,这些代码可以被浏览器成功的执行,从而实现对客户端的攻击; XSS可以盗取客户端cookie,将客户端重定向到第三方网站; (2)客户端脚本语言 弹窗警告、广告; JavaScript; 在浏览器中执行; (3)JavaScript 与J...
Burpsuite、中国蚁剑、XSS漏洞利用及常见问题
b312738566的博客
12-10 550
3.启动中国蚁剑(以管理员身份)
burp suite scan 到xss漏洞,
06-10
当您使用Burp Suite扫描Web应用程序时,如果扫描结果显示存在XSS漏洞,您可以使用Burp Suite中的漏洞验证器来验证该漏洞是否真实存在,并尝试利用该漏洞进行攻击。具体的操作步骤可以参考Burp Suite的官方文档或相关...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值