使用Burp Suite进行XSS渗透测试 (只为自己做个备忘,甚读)

最新推荐文章于 2024-05-23 09:43:40 发布
最新推荐文章于 2024-05-23 09:43:40 发布
阅读量6k 收藏 5
点赞数
分类专栏: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zkwniky/article/details/77771773
版权
使用Burp Suite进行XSS渗透测试
测试环境:webgoat burp Suite
测试网址:http://192.168.1.104:8080/WebGoat/start.mvc#attack/1406352188/900

1)在输入框中输入!@#$<XSSTEST>[]()"",返回 * Whoops, you entered [!@#$[]()""] instead of your three digit code. Please try again.


自己输入的 XSSTEST没有出现。说明有一个输入框有xss注入漏洞,查看源码 发现有<xsstest> </xsstest>标签
可以确定Enter your three digit access code: 这个框中有XSS注入漏洞


2)其他输入框 全部填1   打开burpsuit代理功能   进行拦截  输入



3)点击右键  跳到repeat  修改 如下可按参数   

<script>alert(42)</script>如果被过滤则尝试下面
<img src='x:x' οnerrοr=alert(42)>

4)右键  选择   request browser ,选择  in current browser session ,复制地址输入到浏览器中

ps 需要在客户端火狐浏览器中安装证书,让客户端对burpsuit产生信任

zkwniky
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用burpsuite进行自动化测试XSS漏洞的两种方法
Cwillchris的博客
07-08 1587
一、使用 burpsuite 进行自动化测试 XSS 漏洞我们使用之前搭建的DVWA靶机进行实验进入centos靶机,启动 apache 服务└─# systemctl start apache2进入kali拷贝 payload 字典到 root 目录下,字典可以使用 Kali 中自带的,也可以使用网上找的└─# cp /usr/share/wordlists/wfuzz/Injections/XSS.txt /root在火狐中访问: 192.168.98.66/DVWA-master/vulnerabil
(28)【xss工具绕过】xssburpsuite、前端、字典……
04-04 2099
包括代码层面、工具层面的xss绕过……
burpsuite安全练兵场-客户端11】跨站点脚本XSS-20个实验(上)
热门推荐
01-13 1万+
【BP靶场portswigger-客户端11-跨站点脚本XSS】20个实验-万文详细步骤
探秘Web安全利器:XSSValidator - 自动化XSS漏洞验证工具
最新发布
gitblog_00072的博客
05-23 495
探秘Web安全利器:XSSValidator - 自动化XSS漏洞验证工具 项目地址:https://gitcode.com/NetSPI/xssValidator XSSValidator是一个专为Burp Suite设计的扩展插件,用于自动化检测和验证跨站脚本(XSS)漏洞。此项目由nVisium开发,并受到Trustwave一篇关于使用ModSecurity与PhantomJS进行服务器端...
burpsuite靶场系列之客户端漏洞篇 - 跨站脚本(XSS)专题
weixin_50464560的博客
04-14 3127
https://www.anquanke.com/post/id/245953 本系列介绍 PortSwigger是信息安全从业者必备工具burpsuite的发行商,作为网络空间安全的领导者,他们为信息安全初学者提供了一个在线的网络安全学院(也称练兵场),在讲解相关漏洞的同时还配套了相关的在线靶场供初学者练习,本系列旨在以初学者视角出发对学习该学院内容及靶场练习进行全程记录并为其他初学者提供学习参考,希望能对初学者们有所帮助。 客户端漏洞篇介绍 相对于服务器端漏洞篇,客户端漏洞篇会更加复杂
xss测试步骤总结
wutiangui的博客
09-28 1845
先看bp,再看回显,测试常规xss语句,接着看F12上下文,然后是构造闭合,最后是依次测试绕过方法,成功的时候要能得到一个可以复现的url。
使用Burpsuite精通Web渗透测试-英文版 非常好
05-20
使用Burpsuite精通Web渗透测试,英文版,原汁原味! 本资源转载自网络,如有侵权,请联系上传者或csdn删除 本资源转载自网络,如有侵权,请联系上传者。 Get hands-on experience of using Burp Suite to execute ...
WqScan插件是burp suite 半自动化渗透测试辅助工具
10-11
WqScan插件详情: https://blog.csdn.net/weixin_47183851/article/details/127044459 提示: 需要下载且不想付c币的请留言或微信私聊
渗透测试工具burpsuite详细使用教程
02-02
burpsuite的详细基础使用教程,全面,基础、详细。是入门的好教程。
官网最新版渗透测试利器BurpSuite2022
08-09
官网最新版渗透测试利器BurpSuite2022
渗透测试,暴力破解,信息收集,BurpSuite、nmap工具使用.docx
12-05
内容:主要是渗透测试的基本知识点,比如信息收集、BurpSuite工具使用,sql注入等操作以及注意点的详细介绍; 适用:想学网络安全渗透测试知识的人; 场景:适合参加护网,保护网络安全,保护自己个人信息;
DVWA系列(五)—— 使用Burpsuite进行反射型XSS(反射型跨脚本攻击)
weixin_45116657的博客
08-25 1145
目录: 一、XSS说明: XSS简介 XSS类型 漏洞形成的根源 二、反射型XSS: 原理示意图 实验环境 实验步骤 安全级别:LOW - 重定向 - 获取cookie 安全级别:Medium 安全级别:High 安全级别:Impossible 一、XSS说明 1、XSS简介 XSS,即跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading S...
burpsuite 渗透测试步骤
m0_62496724的博客
10-17 147
burpsuite 功能介绍
BurpSuite工具系】使用BurpSuite一次完整的测试XSS漏洞
run_boy_2022的博客
07-21 1842
xss.js是phantomJS检测xss漏洞的具体实现,进入phantomjs-2.1.1-windows\bin目录打开cmd,执行 phantomjs.exe xss.js 命令设置监听。在Intruder的执行界面上,我们可以通过xss_result来查看payload的检测情况,那些响应报文中存在漏洞标志的均被打√显示出来。开始后,可以看下我们之前phantomjs.exe xss.js 这个命令控制台是否有日志输出。便于我们从控制台观察结果。结果发现系统还是ok的,xss_bug列没有√。
burp靶场--xss上篇【1-15】
qq_33168924的博客
01-29 1321
跨站脚本 (XSS) 是一种通常出现在 Web 应用程序中的计算机安全漏洞。XSS 允许攻击者将恶意代码注入网站,然后在访问该网站的任何人的浏览器中执行该代码。这可能允许攻击者窃取敏感信息,例如用户登录凭据,或执行其他恶意操作。XSS 攻击主要有 3 种类型:反射型 XSS:在反射型 XSS 攻击中,恶意代码嵌入到发送给受害者的链接中。当受害者点击链接时,代码就会在他们的浏览器中执行。例如,攻击者可以创建包含恶意 JavaScript 的链接,并将其通过电子邮件发送给受害者。
跨站脚本攻击XSS演示(burpsuite)
qq_45070118的博客
07-31 3679
XSS简介 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的 通过web站点漏洞,向客户端交付恶意脚本代码,实现对客户端的攻击,事...
存储型XSS_简单漏洞复现
CHUNJIUJUN的博客
08-10 398
首先随便注册一个账号登录 写一篇邮件,邮件内容插入xss语句 burpsuit抓包,发送到repeater,放包,发现script被过滤了 所以改包改用<img src=1 onpointerout=alert(123)> 这里我们去看看我们发布的内容是否双击以后有弹窗 弹窗出现,说明有xss漏洞 ...
052-WEB攻防-XSS跨站脚本攻击&反射型&存储型&DOM型&标签闭合&输入输出&JS代码解析
wushangyu32335的博客
03-10 1132
小迪安全2023笔记
burpsuite熊海渗透测试
12-23
使用Burp Suite进行熊海CMS的渗透测试时,可以使用其各种功能,例如代理、扫描、爬虫、重放等。通过配置Burp Suite的代理,将请求流量导入到Burp Suite中,然后使用其扫描功能对熊海CMS进行自动化的漏洞扫描。此外...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值