本文详细介绍了如何利用BurpSuite对WebGoat平台进行XSS(跨站脚本攻击)渗透测试。作者首先通过输入特殊字符发现可能存在XSS漏洞的输入框,并在源码中找到相关标签。接着,通过BurpSuite的代理功能,拦截请求并注入恶意脚本如`<script>alert(42)</script>`和`<img src='x:x' onerror=alert(42)>`进行测试。最后强调了在客户端安装BurpSuite证书以确保信任。
使用Burp Suite进行XSS渗透测试
测试环境:webgoat burp Suite
测试网址:http://192.168.1.104:8080/WebGoat/start.mvc#attack/1406352188/900
1)在输入框中输入!@#$<XSSTEST>[]()"",返回 * Whoops, you entered [!@#$[]()""] instead of your three digit code. Please try again.
自己输入的 XSSTEST没有出现。说明有一个输入框有xss注入漏洞,查看源码 发现有<xsstest> </xsstest>标签
可以确定Enter your three digit access code: 这个框中有XSS注入漏洞
2)其他输入框 全部填1 打开burpsuit代理功能 进行拦截 输入
3)点击右键 跳到repeat 修改 如下可按参数
<script>alert(42)</script>如果被过滤则尝试下面
<img src='x:x' οnerrοr=alert(42)>
4)右键 选择 request browser ,选择 in current browser session ,复制地址输入到浏览器中
ps 需要在客户端火狐浏览器中安装证书,让客户端对burpsuit产生信任
————————————————
版权声明:本文为优快云博主「zkwniky」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.youkuaiyun.com/zkwniky/article/details/77771773
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
