使用 burpsuite 进行自动化测试 XSS 漏洞

简介: 使用 burpsuite 进行自动化测试 XSS 漏洞

首先我们进行环境的准备,可以在windows下也可以在linux下

上传文件到网站根目录下,我这里使用的是windows的小皮集成环境进行讲解的

然后拷贝一份payload字典到root目录下,在kali里面有一个自带的,也可以自己去上传一份

这是我从kali里面拷贝下来的xss注入检测payload

这是xss.php的代码

准备工作做完了,我们开始进行bp截取进行联动检测了

首先在网站上访问http://127.0.0.1/xss.php?payload=1

将bp截取到的数据发送到暴破模块

由于我新版的bp出了一点小问题,我下面一部分的教程会用老版本的bp代替一下

先清除一遍payload,不清除可能会有其他我们不需要测试地方也被加载进来

然后选择好要测试的位置,添加好

我们切换到有效载荷里面,进行上传我们自己的payload

选择指定文件,上传我们自己的文件,然后开始攻击

查看结果有没有被过滤或转义,即可判断 payload 成功绕过过滤机制。



使用burpsuite 进行漏洞扫描

我们安装好java环境和bp

我们关闭截断,配置好代理后打开dvwa靶场

注:这里建议大家在 DVWA 中多点一点,特别是可能存在漏洞的位置都要点一点,并提交一些请

求,然后 burpsuite 会帮我们记录我们的访问请求。在后续自动测试的时候会更加准确。

登陆之后把等级改为low

我们先访问一下xss相关的页面,方便我们一会进行漏洞扫描

我们进入正题,开始对站点进行漏洞扫描,在开始扫描之前,将下列会影响扫描结果的项目删掉。

查看扫描进度


我们查看一下详细信息

从图中可以看出已经扫描出 17 个高危漏洞,3 个中危漏洞,2 个低危漏洞和 52个一般漏洞

查看扫描了哪些页面

查看问题并点击右侧风险等级进行排序


例 1:

发送密码

提示我们明文提交密码不安全。危险等级高。


例 2:

跨站点脚本(反射型)

存在 XSS 漏洞也 给出了简单的 payload 信息。


例 3:

跨站点脚本(DOM 基础)

存在 DOM 型 XSS 注入


打完收工!!!

目录
相关文章
|
13天前
|
安全 JavaScript 前端开发
XSS漏洞的危害
XSS漏洞的危害
30 1
|
1月前
|
存储 安全 JavaScript
【XSS】XSS漏洞详细指南
【XSS】XSS漏洞详细指南
51 3
|
1天前
|
SQL 数据采集 安全
Burpsuite测试神器使用
Burpsuite测试神器使用
|
15天前
|
JSON 安全 JavaScript
Web安全-JQuery框架XSS漏洞浅析
Web安全-JQuery框架XSS漏洞浅析
88 2
|
1月前
|
安全 Java 应用服务中间件
渗透测试-JBoss 5.x/6.x反序列化漏洞
渗透测试-JBoss 5.x/6.x反序列化漏洞
39 14
|
28天前
|
存储 安全 Java
发现 XSS 漏洞?别急!SpringBoot这招轻松搞定!
在SpringBoot中,发现XSS(跨站脚本)漏洞时,可以通过一系列措施来轻松搞定这些安全问题。XSS攻击允许攻击者在受害者的浏览器中注入恶意脚本,这些脚本可以窃取用户的敏感信息、劫持用户会话或进行其他恶意操作。以下是一些在SpringBoot中修复XSS漏洞的有效方法
47 7
|
1月前
|
安全 网络安全 数据安全/隐私保护
渗透测试-Openssl心脏出血漏洞复现
渗透测试-Openssl心脏出血漏洞复现
46 7
|
10天前
|
安全 测试技术 Linux
CentOS7 安装vulhub漏洞测试环境
CentOS7 安装vulhub漏洞测试环境
19 0
|
2月前
|
运维 安全 应用服务中间件
自动化运维的利器:Ansible入门与实战网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【8月更文挑战第30天】在当今快速发展的IT时代,自动化运维已成为提升效率、减少错误的关键。本文将介绍Ansible,一种流行的自动化运维工具,通过简单易懂的语言和实际案例,带领读者从零开始掌握Ansible的使用。我们将一起探索如何利用Ansible简化日常的运维任务,实现快速部署和管理服务器,以及如何处理常见问题。无论你是运维新手还是希望提高工作效率的资深人士,这篇文章都将为你开启自动化运维的新篇章。
|
29天前
|
存储 安全 JavaScript
Web安全-XSS漏洞
Web安全-XSS漏洞
18 0