【Burp入门第十九篇】使用BurpSuite实现XXE+点击劫持+实战案例

已于 2024-05-24 14:43:38 修改
阅读量2.6k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: BurpSuite入门教程(附实战图文) 文章标签: Burpsuite 渗透工具
于 2024-04-07 10:21:24 首次发布
原创文章,禁止转载,否则保留追究法律责任的权利。
本文链接:https://blog.youkuaiyun.com/2301_77485708/article/details/137432012
本文介绍了如何使用Burp Suite进行XXE和点击劫持漏洞的检测。首先,通过主动扫描和手动测试展示了XXE漏洞的探测过程,详细解释了XML注入的原理。接着,阐述了利用Burp Suite发现并模拟点击劫持的过程,包括扫描、设置Clickbandit、执行攻击脚本等步骤,最后展示了点击劫持的效果。

Burp Suite是一款功能强大的渗透测试工具,被广泛应用于Web应用程序的安全测试和漏洞挖掘中。
本专栏将结合实操及具体案例,带领读者入门、掌握这款漏洞挖掘利器
读者可订阅专栏:【Burp由入门到精通 |优快云秋说】

在这里插入图片描述

XXE

XXE漏洞的原理:攻击者通过注入特殊的XML实体来引用外部资源,比如本地文件系统中的文件。从而读取服务器上的敏感文件。

【1】Burp主动扫描

将条目发送至主动扫描:

在这里插入图片描述

仪表盘扫描出XML注入漏洞:

在这里插入图片描述
【2】手动测试

原请求包如下:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
《WEB安全渗透测试》(35) 使用Burp Clickbandit测试点击劫持
午夜安全
02-08 2807
点击劫持指的是,通过覆盖不可见的框架误导受害者点击,虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。Burp Clickbandit 是用于生成点击劫持攻击的工具,当发现可能容易受到点击劫持的网页时,可以使用 Burp Clickbandit 发起攻击,并确认可以成功利用此漏洞。Burp Clickbandit 使用 JavaScript 在你的浏览器中运行,它适用于除 Microsoft IE 和 Edge 之外的所有现代浏览器。
[网络安全自学] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
界面劫持之点击劫持
d59hao的博客
06-13 789
界面操作劫持攻击实际上是一种基于视觉欺骗的 web 会话劫持攻击,核心在于使用了标签中的透明属性,他通过在网页的可见输入控件上覆盖一个不可见的框,使得用户误以为在操作可见控件,而实际上用户的操作行为被其不可见的框所劫持,执行不可见框中的恶意代码,达到窃取信息,控制会话,植入木马等目的。因为首先劫持的是用户的鼠标点击操作,所以命名叫点击劫持。最新版本的浏览器提供很多防御点击劫持漏洞的安全机制,对于普通的互联网用户,经常更新修复浏览器的安全漏洞,能够最有效的防止恶意攻击。
点击劫持和DOM代码注入类漏洞攻击方式与防御措施|软件安全测试技术系列
daopuyun的博客
03-04 941
攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。如果程序必须动态地解释代码,您可以通过以下方式将这种攻击获得成功的可能性降到最低:尽可能限制程序中动态执行的代码数量,将代码限制到基本编程语言的程序特定的和上下文特定的子集。的,那么,只有在对主进程具有完全权限的情况下才能执行这些操作。· 如果可能,应根据最小权限原则,隔离出所有动态执行,以使用单独的专用用户帐户,且该帐户只有动态执行使用的特定操作和文件的权限。
burpsuite安全练兵场-客户端14】点击劫持-5个实验(全)
wangluoanquan111的博客
01-26 2307
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在优快云永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:优快云网络安全领域优质创作者,2022年双十一业务安全保卫战-
点击劫持
giun的博客
03-04 546
一、前置知识 首先介绍下html下的iframe标签的作用: 可以创建包含另一个文档的内联框架。 例如下面这个代码。运行下面这个网页,发现他和网易安全中心的页面几乎一样,除了url不一样 <!DOCTYPE html> <html> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/&...
【安全测试】Burp Suite 2025插件使用指南:从安装到高级漏洞检测
最新发布
weixin_41080437的博客
08-18 883
BurpSuite插件生态为渗透测试提供了强大的扩展支持,涵盖漏洞检测、信息收集、权限测试等八大类别。2025年版本进一步融合AI技术,新增BurpAI模块支持智能扩展开发。本文系统介绍了核心插件(如Log4j2Scan、TurboIntruder等)的功能特性与实战应用,详细解析了插件安装配置方法(包括BAppStore和GitHub渠道),并提供了性能优化与安全合规的最佳实践。通过官方与第三方插件的协同使用,结合AI驱动与自动化技术,可显著提升Web安全测试效率,但需注意版本兼容性和授权合规性。
burp功能介绍
2302_80432320的博客
11-25 1228
学习视频来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下,如涉及侵权马上删除文章,笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!你可以比较服务器返回的不同响应,查看响应体、状态码、响应头等方面的差异。在渗透测试过程中,Target 模块可以与 Burp Suite 的 Scanner 结合,帮助自动化地扫描目标 Web 应用中的 URL 和路径,检测常见的漏洞(如 SQL 注入、XSS 等)。
[网络安全自学] 二十五.Web安全学习路线及木马、病毒和防御初探
热门推荐
杨秀璋的专栏
11-12 3万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了分享机器学习在安全领域的应用,并复现一个基于机器学习(逻辑回归)的恶意请求识别。这文章简单叙述了Web安全学习路线,并实现了最简单的木马和病毒代码,希望对读者有所帮助。
Burpsuite官方实验室之点击劫持
tpaer的博客
11-17 3238
这是BurpSuit官方的实验室靶场,以下将记录个人点击劫持共5个Lab的通关过程。
点击劫持ClickJacking+HTML5
zcc1414的专栏
09-25 1255
学习笔记而已 ~~~~~~~~~~~~~~~~~~~~~~~~~~
burpsuite靶场——XXE
qq_61768489的博客
12-26 1644
XML全称是可扩展标记语言,是用来存储和传输数据的一种数据格式,结构上和HTML类似,但是XML使用的是自定义的标签名,XML在Web早期中比较流行,现在开始流行JSON格式的数据了。XML实体是一种表示数据项的方式,比如用实体< and >表示符号,XML用实体来表示XML标签。DTD全称是document type definition,其可以定义XML文档的结构、它可以包含的数据类型和其他项目。DTD在XML文档开头以可选DOCTYPE节点中声明。
原来我一直被骗了!Burp suite诱导劫持攻击【附工具】
jijisaq的博客
04-20 1827
一、点击劫持点击劫持是一种基于界面的攻击,用户通过点击诱饵网站中的一些其他内容被诱骗点击隐藏网站上的可操作内容。举例来说,一个网络用户可能会访问一个诱饵网站(可能是通过电子邮件提供的链接),并点击一个按钮以赢取奖品。然而,他们可能会在不知情的情况下点击了另一个隐藏按钮,导致了另一个网站上的帐户被用来支付款项。这就是点击劫持攻击的一个例子。
XXE(外部实体注入)| PortSwigger(burpsuite官方靶场)| Part 1
bin789456的博客
02-25 5521
写在前面 这个系列开始写写XXE相关的东西,这里时第一部分,相关资料及使用靶场如下: https://www.w3schools.com/xml/ https://portswigger.net/web-security/xxe 为了更方便你检索题目且由于是国外网站,会带有一定外语及翻译,开始吧 Exploiting XXE using external entities to retrieve files(利用外部实体利用XXE来检索文件) 打开环境 是一个商店页面的模拟,先找找可疑的点吧,点进商品
XXE(外部实体注入)| PortSwigger(burpsuite官方靶场)| Part 3
bin789456的博客
03-07 1516
XInclude attacks 一些应用程序接收客户端提交的数据,在服务器端将其嵌入到 XML 文档中,然后解析该文档。当客户端提交的数据被放入后端 SOAP 请求中时,就会出现这种情况的一个示例,该请求随后由后端 SOAP 服务处理。 在这种情况下,您无法执行经典的 XXE 攻击,因为您无法控制整个 XML 文档,因此无法定义或修改DOCTYPE元素。但是,您也许可以XInclude改用。XInclude是 XML 规范的一部分,它允许从子文档构建 XML 文档。您可以XInclude在 XML
XXE(外部实体注入)| PortSwigger(burpsuite官方靶场)| Part 2
bin789456的博客
03-03 824
Blind XXE with out-of-band interaction via XML parameter entities(通过 XML 参数实体进行带外交互的盲 XXE
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值