一、使用 burpsuite 进行自动化测试 XSS 漏洞
我们使用之前搭建的DVWA靶机进行实验
进入centos靶机,启动 apache 服务
└─# systemctl start apache2
进入kali
拷贝 payload 字典到 root 目录下,字典可以使用 Kali 中自带的,也可以使用网上找的
└─# cp /usr/share/wordlists/wfuzz/Injections/XSS.txt /root
在火狐中访问: 192.168.98.66/DVWA-master/vulnerabilities/xss_r/
火狐设置代理,开启动 burpsuite 截取,火狐使用 burpsuite 代理上网。
输入框随便输入,点submit
将 burpsuite 截取的包,发送到 intruder :