利用burp suite手工挖掘XSS漏洞 手工测试xss 没啥技术含量,只是把自己手工挖xss的简单心得和大家分享下。Xss的形成原因无非是用户输入的xss代码经过服务器之后原封不动的返回到客户端中,这样攻击者就可以写出带有恶意行为的js脚本,传送给受害者,使得脚本在受害者机子上进行执行,最常见的就是盗取用户的cookies。复杂...
打开brupsuite, 先把intercept 关掉,否则访问网页需要你手工放行。在你想更改参数给服务器时可以利用, 例如在玩flash 游戏最后有个提交参数,打开 intercept,修改得分值,你就可以修改成任何 你想要的分数。 下面我使用的是owasp 的练习系统简单说下手工查找xss 漏洞。 设置好代理访问网页,可以看到brupsuite 抓到的数据...