一個可以迅速驗證跨站點腳本編制的問題,順帶着還可以驗證鏈接注入和框架釣魚。能夠迅速驗證跨站點的一個重要要求還是需要知道如何使用burpsuite的proxy這個模塊。
四個比較重要按鈕的作用。
Forward:提交數據包給服務器
Drop:丟棄當前的數據包,不上傳給服務器
Intercept off/on:截斷代理。截取客戶端請求服務器的數據包。
Action:將數據包發送到其他功能模塊等等。
讓我們來驗證一個問題吧
首先,我們要確定cityName這個參數是在頁面的那個位置。。。
我也不多講如何找到這個cityName參數如何找到的了,請看圖吧
接着,我們要觸發這個參數,將這個參數傳到服務器
開啓burpsuite,然後點擊按鈕,即可傳遞該參數
看,已經截取到了。(注:burpsuite不能正常顯示中文)
我們先提交一下,因爲我們不需要這個數據包。(注:你們也可以試試往這裏加入跨站點的代碼,不過沒效果的)
(注:不要感到意外,親測功能是沒有問題的,只是截斷過程中有些數據包還沒有交互而已)接着,我要在選擇市
我需要的就是在下圖進行修改
接着我們將一段xss代碼放置在目標參數下
接着,我們只要一直提交就行了
下圖就是報錯的信息