burp suite 使用 xssvalidate

原創 thatqier0 2018-08-22 11:41

配置插件xssValidator

image_1bpb9uuess3713ehd5q1ang8d172.png-138.6kB

使用插件

代理功能(目的是抓取真實的http請求報文)

image_1bpb8n60024oueo1csr1c0vm5q2j.png-232kB

配置好瀏覽器代理地址後發起請求,burp會捕獲到請求,點擊forward

image_1bpb8q3271gmptv34cj1o151e9930.png-159.3kB

找到對應的請求歷史記錄,併發送到intruder

image_1bpb8tfd51mcudj71hh0dp41j83d.png-310.8kB

配置payloads爲xssValidator

image_1bpb92n2c1ct91jue5iv1jvu1maa3q.png-213.3kB

配置options的grep – match

image_1bpb963drtho9qd4csgunet747.png-122.5kB

對應字符串的出處

image_1bpb8ikrd1coie1e1q87o73egk16.png-242.1kB

修改請求參數,並開始xss掃描

image_1bpb9apf3jm93ti1018ivf7fk51.png-178.9kB

查看單獨的結果(有勾選的就是有xss漏洞的)

image_1bpb9epcjvhn1d6f1d0oqjs1mmj5e.png-217.8kB

把對話框出現的url地址copy到瀏覽器訪問,並在顯示的地址點擊按鈕

image_1bpb9ip6s1t7j47u1489ot1fdk5r.png-101.3kB
image_1bpb9lj5c3apc6ek1g18gchd56l.png-37.9kB

最後看到xss漏洞的現象

image_1bpb9k49e1551hcf9im40nfje68.png-133.3kB


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

免責聲明,告知

本欄內容只供學習使用,如有違反法律,與本人無關。 在下載後24小時後,請及時刪除。 對可能危及普通公衆權益與自由的漏洞或技術運用或發佈應保持謹慎。 不應違背保護信息自由流動的底線。 請尊重版權信息,購買正版。 如本博客裏有錯誤出現,請

zhangguangyi888 2020-07-08 11:39:41

等保測評--通信網絡安全測評要求

信息安全等級保護,是對信息和信息載體按照重要性等級分級別進行保護的一種工作,在中國、美國等很多國家都存在的一種信息安全領域的工作。在中國,信息安全等級保護廣義上爲涉及到該工作的標準、產品、系統、信息等均依據等級保護思想的安全工作;狹義上一

江南落花雨 2020-07-08 07:12:19

等保測評--物理環境安全測評要求

信息安全等級保護,是對信息和信息載體按照重要性等級分級別進行保護的一種工作,在中國、美國等很多國家都存在的一種信息安全領域的工作。在中國,信息安全等級保護廣義上爲涉及到該工作的標準、產品、系統、信息等均依據等級保護思想的安全工作;狹義上一

江南落花雨 2020-07-08 07:12:19

【公益譯文】網絡安全滑動標尺模型–SANS分析師白皮書

http://blog.nsfocus.net/sliding-scale-cyber-security/

云上笛暮 2020-07-08 06:09:02

2020年全球風險報告

原文:https://www.marsh.com/cn/zh/insights/research/global-risks-report-2020.html

云上笛暮 2020-07-08 06:09:01

超初級的Linux後門製作方法

一個文件都有一個所有者,表示該文件是誰創建的。同時,該文件還有一個組編號,表示該文件所屬的組,一般爲文件所有者所屬的組.   如果是一個可執行文件,那

opl001 2020-07-08 01:57:42

【趣話編程】如果張東昇是個程序員

簡介:趣話編程第五期,今天讓我們來講一講“隱祕的角落”之程序員版張東昇。原文鏈接張東昇是一家互聯網公司的程序員,一直以來都勤勤懇懇老實工作。可最近一段時間,老闆接了幾個項目回來,不但開啓了996的工作模式,更要命的是頻頻更改需求,

阿里技术官方号 2020-07-08 00:43:28

內網滲透(上)

每日一句: 做安全,有一定實力的話。找工作,待遇不好就不要去,不要委屈求全。 世界上好地方那麼多,不出去看看的話,你就以爲這就是世界 另外,二進制其實也不是多值錢的玩意,沒必要覺得多深奧 聲明: 內網滲透

划水的小白白 2020-07-08 00:37:05

基於PU-Learning的惡意URL檢測

基於PU-Learning的惡意URL檢測 原文作者:Ya-Lin Zhang, Longfei Li, Jun Zhou, Xiaolong Li, Yujiang Liu, Yuanchao Zhang, Zhi-Hua Zh

Ronnyz 2020-07-07 20:13:37

解決在Windows server2003虛擬機上無法安裝IIS組件的問題

解決在Windows server2003虛擬機上無法安裝IIS組件的問題   最近在研究網絡方面的知識,於是找了幾個測試網站源碼,打算自己搭一個測試平臺,練一練手。找到有網站 漏洞的源碼後,用PHPstudy作爲網站服務器平臺用的不太熟

running boy 2020-07-07 12:42:34

SQL注入關鍵詞大全

高級搜索關鍵詞 sql 注入大全 拿起你手中的 啊D 明小子 pangolin  激情把 inurl:asp?id= inurl:Article_Print.asp? inurl:EnCompHonorBig.asp?id=隨便加個數

running boy 2020-07-07 12:42:31

Netcat安裝使用詳解

Netcat 從網絡的一段讀取數據,輸出到網絡的另一端(可以使用於TCP和UDP協議)   安裝 Windows可自行在github上下載netcat kali linux上 方法一: sudo yum install n

想冲大厂的癞蛤蟆 2020-07-07 11:59:33

web攻防之Cookie注入

摘要:隨着網絡安全技術的發展,SQL注入作爲一種很流行的攻擊方式被越來越多的人所知曉。很多網站也都對SQL注入做了防護,許多網站管理員的做法就是添加一個防注入程序。這時我們用常規的手段去探測網站的SQL注入漏洞時會被防注入程序阻擋,遇到

j-k 2020-07-07 11:30:57

常見端口和註冊表結構

  一、端口分類 (1)固定/知名端口(0-1023)     使用集中式管理機制,即服從一個管理機構對端口的指派,這個機構負責發佈這些指派。由於這些端口緊綁於一些服務,所以我們會經常掃描這些端口來判斷對方是否開啓了這些服務,如T

a阿飞 2020-07-07 09:02:44

XCTF 4th-WHCTF-2017

XCTF 4th-WHCTF-2017題目提示題目實驗輸入百度 baidu.com進行測試輸入127.0.0.1進行測試輸入127.0.0.1 | ls 進行測試根據大佬WP測試尋找數據庫相關信息根據數據庫信息進行查詢 XCTF

他们说快写一首情歌 2020-07-07 08:44:18