使用Burp Suite进行XSS渗透测试
测试环境:webgoat burp Suite
测试网址:http://192.168.1.104:8080/WebGoat/start.mvc#attack/1406352188/900
1)在输入框中输入!@#$<XSSTEST>[]()"",返回 * Whoops, you entered [!@#$[]()""] instead of your three digit code. Please try again.
自己输入的 XSSTEST没有出现。说明有一个输入框有xss注入漏洞,查看源码 发现有<xsstest> </xsstest>标签
可以确定Enter your three digit access code: 这个框中有XSS注入漏洞
2)其他输入框 全部填1 打开burpsuit代理功能 进行拦截 输入
3)点击右键 跳到repeat 修改 如下可按参数
<script>alert(42)</script>如果被过滤则尝试下面
<img src='x:x' οnerrοr=alert(42)>
4)右键 选择 request browser ,选择 in current browser session ,复制地址输入到浏览器中
ps 需要在客户端火狐浏览器中安装证书,让客户端对burpsuit产生信任
最后
以上就是标致水杯最近收集整理的关于使用Burp Suite进行XSS渗透测试 (只为自己做个备忘,甚读)的全部内容,更多相关使用Burp内容请搜索靠谱客的其他文章。
发表评论 取消回复