XSS————1、XSS测试平台搭建
发布时间:2018-05-13 10:28,
浏览次数:445
, 标签:
XSS
安装
(1)安装http server与php环境(ubuntu: sudo apt-get install apache2 php5 或 sudo
apt-get install apache2 php7.0 libapache2-mod-php7.0)
(2)上传所有文件至空间根目录
(3)访问目标网站
* 根据提示配置xss平台
* 在配置之前,需要赋予xss的数据存储路径,js模板存储路径,我的js存储路径写权限,以及平台根目录写权限(sudo chmod 777 -R ./)
* 完成安装,访问http://网站地址/admin.php登录后台
* 当有请求访问/index.php?a=xxx&b=xxxx,所有携带数据包括get,post,cookie,httpheaders,客户端信息都会记录
* 如不做二次开发,可直接删除根目录下diff、guide、src目录
* 如果有权限,请开启Apache中的AllowOverride以使.htaccess生效(可选)
* xss数据存储路径将被设置为禁止web访问
* js模板存储路径、我的js存储路径将被设置为仅允许访问js文件
(4)访问目标站点:
从上面可以看到比较有用的公共模板,在做测试的时候非常有用,而且我们也可以自己开发相应的XSS模板。
(5)XSS平台功能测试——获取Cookie
进入“我的JS”修改文件名为cookie
插入模板default.js
修改网站地址
选择“修改”保存JS测试代码:
选择生成payload
复制以上的地址!
实例:测试站点DVWA XSS(stored)测试部分:
刷新Dvwa XSS(stored)页面
XSS平台接收到获取的Cookie