利用burp_suite手工挖掘XSS漏洞.pdfVIP

手工测试xss 没啥技术含量，只是把自己手工挖xss 的简单心得和大家分享下。 Xss 的形成原因无非是用户输入的xss 代码经过服务器之后原封不动的返回到客户端中， 这样攻击者就可以写出带有恶意行为的 js 脚本，传送给受害者，使得脚本在受害者机子上 进行执行，最常见的就是盗取用户的cookies 。复杂的就需要懂很多javascript 知识。 现在的网站几乎大部分都会有与用户交互的功能，用户可以提交数据之类的，再加上开 发对用户输入的数据过滤检查不严格，这样就很容易造成xss 。 很多的工具可以扫到xss 漏洞，工具的扫描过程有可能是对一个网址开始进行爬虫，查 找用户可以输入的参数，可能是 get 方法的，可能是 post 方法的，更改输入参数值，使用 自带的xss 测试语句进行测试，观察返回的数据中有没有这些测试语句。 但是很多的扫描工具扫描的并不是很全面。有可能漏掉很多。 使用手工测试xss 和工具扫描的原理是一样的，更改传递给服务器的参数值，观察返回 的数据中参数值的变化，一般测试时，我习惯输入/21212,这样若是返回的页面源代码中 含有/21212，那这个站90% 的就可以进行xss ，当然若要触发的话大多数情况下还需要你 进行闭合操作。 在手工测试xss 中最重要的就是对一个站或是一个网址数据包的抓取及修改的过程，这 样的工具很多，fiddler 、brupsuite 等代理工具就可以实现抓包、改报的操作。 我测试时喜欢brupsuite，虽然免费的功能有所限制，但是对于自己抓包完全够用了。 对于 brupsuite 的资料现在中文的貌似不是很多，自己也是一点点的摸索出来的。下面 使用brupsuite 做个简单的使用介绍。 使用brupsuite，首先需要对浏览器进行代理设置，推荐firefox+proxy ，用ie 的话该代理， 本机上网都会通过这个代理。 打开brupsuite， 先把intercept 关掉，否则访问网页需要你手工放行。在你想更改参数给服务器时可以利用， 例如在玩flash 游戏最后有个提交参数，打开 intercept，修改得分值，你就可以修改成任何 你想要的分数。 下面我使用的是owasp 的练习系统简单说下手工查找xss 漏洞。 设置好代理访问网页，可以看到brupsuite 抓到的数据包如图： 我选取的是 post 方法提交的参数值，在上面可以看到有对勾的就是该网址可以传递参数， 体积的参数查看很简单，自己找下。 下面的user 和pass 的参数值是可以传递给服务器的，这样就可以修改这些参数，我刚开始 用的/21212发现返回的页面里面没有，但是在试scriptalert(21212)/script时出现了xss ： 这个没有办法在源代码中进行查看。继续点击网站的其他功能，尽量全面点，这样brupsuite 就能抓取更多的数据包，尤其是需要用户填写东西的，这样就填写你自己的语句，例如我填 写 的 是 提 交 后 ， 点 击 查 看 源 代 码 发 现 输入的/21212原封不动的返回到浏览器中。这样就很有可能实现跨站。 在brupsuite 中同样抓到了该post 方法提交的过程 使用该工具不仅看到了提交的数据值，还能看到隐藏的user 参数。 下面构造xss 语句， 提交后 产生了跨站，这样你可以使用其他js 标签或者js 脚本进行攻击了。 上面可以看到还有个user 参数。我们检查下这个参数是不是一样可以被利用跨站。 这个的话我们使用brupsuite 进行测试。首先选取要测试的网址，点击发送，如图： 工具的这个功能就是可以修改参数值后进行提交 看到了参数值admin，修改他，加入/21212,点击go 。看下面的response 返回的数据值。 同样返回了/21212,后面那个是上次测试留下的，改成xss 语句。 在这里也可以不使用工具，页面比较简单，但是你要查找大型网站时候还是用工具抓包 比较方便些 在源码中看到了script标签，在网页中就会出现xss 框框。这里要想展示的话需要上面 的说的off 和on 了，访问网页拦截数据，修改user 的参数值，点