渗透测试XSS漏洞原理与验证(9)——XSS相关工具及使用

XSS工具

Burpsuite的xss检测功能

打开Proxy功能中的Intercept选项卡，确认拦截功能为"Interception is on"状态，如果显示 为"Intercept is off"则点击它，打开拦截功能。

打开浏览器，输入需要访问的url，将会看到数据流量经过Burp Proxy并暂停直到你点击【Forward】，才会继续传输下去。如果你点击了【Drop】，则这次通过的数据将会被丢失，不再继续处理。

右键，选择Do an active scan进行主动扫描。这种方法是扫描单个页面Burpsuite也有根据爬虫爬行的结果扫描多个页面的功能，非常强大。

生成扫描结果，可以看到扫描出来了xss跨站脚本漏洞并且生成了扫描报告。

XSS测试平台

XSS测试平台是测试XSS漏洞获取Cookie并接受Web页面的平台，可以窃取Cookie、后台增删改文章、钓鱼、修改网页代码等，源码基于xsser.me。

XSS漏洞利用

本文部分图片摘自深信服安全服务认证工程师课程课件中，为方便个人学习使用，勿作商用！！！！文字内容为自己手打，并非直接搬运！如有侵权，请联系删除！！！

本文档所提供的信息仅用于教育目的及在获得明确授权的情况下进行渗透测试。任何未经授权使用本文档中技术信息的行为都是严格禁止的，并可能违反《中华人民共和国网络安全法》及相关法律法规。使用者应当合法合规地运用所学知识，不得用于非法入侵、破坏信息系统等恶意活动。我们强烈建议所有读者遵守当地法律与道德规范，在合法范围内探索信息技术。