XSS測試平臺搭建
阿新 • • 發佈:2019-02-14
安裝
(1)安裝http server與php環境(ubuntu: sudo apt-get install apache2 php5 或 sudo apt-get install apache2 php7.0 libapache2-mod-php7.0)
(3)訪問目標網站
- 根據提示配置xss平臺
- 在配置之前,需要賦予xss的資料儲存路徑,js模板儲存路徑,我的js儲存路徑寫許可權,以及平臺根目錄寫許可權(sudo chmod 777 -R ./)
- 當有請求訪問/index.php?a=xxx&b=xxxx,所有攜帶資料包括get,post,cookie,httpheaders,客戶端資訊都會記錄
- 如不做二次開發,可直接刪除根目錄下diff、guide、src目錄
- 如果有許可權,請開啟Apache中的AllowOverride以使.htaccess生效(可選)
- xss資料儲存路徑將被設定為禁止web訪問
- js模板儲存路徑、我的js儲存路徑將被設定為僅允許訪問js檔案
(4)訪問目標站點:
從上面可以看到比較有用的公共模板,在做測試的時候非常有用,而且我們也可以自己開發相應的XSS模板。
(5)XSS平臺功能測試——獲取Cookie
進入“我的JS”修改檔名為cookie
插入模板default.js
修改網站地址
選擇“修改”儲存JS測試程式碼:
選擇生成payload
複製以上的地址!
例項:測試站點DVWA XSS(stored)測試部分:
重新整理Dvwa XSS(stored)頁面
XSS平臺接收到獲取的Cookie