使用 burpsuite 进行自动化测试 XSS 漏洞

简介: 使用 burpsuite 进行自动化测试 XSS 漏洞

首先我们进行环境的准备,可以在windows下也可以在linux下

上传文件到网站根目录下,我这里使用的是windows的小皮集成环境进行讲解的

然后拷贝一份payload字典到root目录下,在kali里面有一个自带的,也可以自己去上传一份

这是我从kali里面拷贝下来的xss注入检测payload

这是xss.php的代码

准备工作做完了,我们开始进行bp截取进行联动检测了

首先在网站上访问http://127.0.0.1/xss.php?payload=1

将bp截取到的数据发送到暴破模块

由于我新版的bp出了一点小问题,我下面一部分的教程会用老版本的bp代替一下

先清除一遍payload,不清除可能会有其他我们不需要测试地方也被加载进来

然后选择好要测试的位置,添加好

我们切换到有效载荷里面,进行上传我们自己的payload

选择指定文件,上传我们自己的文件,然后开始攻击

查看结果有没有被过滤或转义,即可判断 payload 成功绕过过滤机制。



使用burpsuite 进行漏洞扫描

我们安装好java环境和bp

我们关闭截断,配置好代理后打开dvwa靶场

注:这里建议大家在 DVWA 中多点一点,特别是可能存在漏洞的位置都要点一点,并提交一些请

求,然后 burpsuite 会帮我们记录我们的访问请求。在后续自动测试的时候会更加准确。

登陆之后把等级改为low

我们先访问一下xss相关的页面,方便我们一会进行漏洞扫描

我们进入正题,开始对站点进行漏洞扫描,在开始扫描之前,将下列会影响扫描结果的项目删掉。

查看扫描进度


我们查看一下详细信息

从图中可以看出已经扫描出 17 个高危漏洞,3 个中危漏洞,2 个低危漏洞和 52个一般漏洞

查看扫描了哪些页面

查看问题并点击右侧风险等级进行排序


例 1:

发送密码

提示我们明文提交密码不安全。危险等级高。


例 2:

跨站点脚本(反射型)

存在 XSS 漏洞也 给出了简单的 payload 信息。


例 3:

跨站点脚本(DOM 基础)

存在 DOM 型 XSS 注入


打完收工!!!

目录
相关文章
|
16天前
|
安全 网络安全 数据安全/隐私保护
XSS 漏洞可能会带来哪些危害?
【10月更文挑战第26天】XSS漏洞可能会给网站和用户带来诸多严重危害
|
16天前
|
存储 监控 安全
|
18天前
|
存储 JSON 安全
2024全网最全面及最新的网络安全技巧 二 之 CSRF+XSS漏洞的各类利用技巧
2024全网最全面及最新的网络安全技巧 二 之 CSRF+XSS漏洞的各类利用技巧
|
1月前
|
Web App开发 安全 关系型数据库
xss漏洞原理(五)BeEF
xss漏洞原理(五)BeEF
|
1月前
|
安全
xss漏洞原理(五)BeEF
xss漏洞原理(五)BeEF
|
1月前
|
开发框架 安全 JavaScript
xss漏洞原理(四)自动化XSS
xss漏洞原理(四)自动化XSS
|
1月前
|
存储 Web App开发 安全
XSS漏洞原理(三)存储型
XSS漏洞原理(三)存储型
|
1月前
|
安全 Apache PHP
XSS漏洞理由(二)反射型
XSS漏洞理由(二)反射型
|
1月前
|
存储 安全 JavaScript
xss漏洞简介
xss漏洞简介
|
8天前
|
JSON Java 测试技术
SpringCloud2023实战之接口服务测试工具SpringBootTest
SpringBootTest同时集成了JUnit Jupiter、AssertJ、Hamcrest测试辅助库,使得更容易编写但愿测试代码。
37 3