XSS手工及工具挖掘
XSS可能存在的地方
HTML context
Attribute Context
URL Context
Style Context
Script Context
XSS测试方法
工具扫描:APPscan、AWVS
Cross site scripting类型
验证的时候,标准是弹出对话框,否则基本是误报
手工测试:Burpsuite、firefox(hackbar)、XSSER XSSF(谷歌浏览器)
使用手工检测Web应用程序是否存在XSS漏洞时,最重要的是考虑那里有输入,输入的数据在什么地方输出。在进行手工检测XSS时,人毕竟不像软件那样不知疲惫,所以一定要选择有特殊意义的字符,这样可以快速测试是否存在XSS。
(1)在目标站点上找到输入点,比如查询接口,留言板等;
(2)输入一组"特殊字符+唯一识别字符",点击提交后,查看返回的源码,是否有做对应的处理(看看是否被转译掉了,如果转译了,则说明程序员做了防范措施)
(3)通过搜索定位到唯一字符,结合唯一字符前后语法确认是否可以构造执行js的条件(构造闭合);提交构造的脚本代码,看是否可以成功执行(复制响应字符到浏览器),如果成功执行则说明存在XSS漏洞;
firefox(hackbar)安装
作用
模拟一些post refer跨站
地址栏只能模拟输入get型跨站
首先安装“火狐浏览器”
安装完后,打开火狐浏览器,在工具 附加组件里搜索“HackBar”并安装
安装完后,重启一下火狐浏览器才会生效
重启完后,打开百度,你会发现标签栏处多了一些工具条,它就是HackBar插件,首次打开是开启的,可以通过F12来调用hackbar。(注意网上很多都是写的F9,最新版的跟开发者页面融合在一起了,你要进行选择)
XSSER XSSF(由360开发基于谷歌浏览器的插件)安装与使用
在谷歌浏览器中打开就可以安装了
https://chrome.google.com/webstore/detail/domxss-tester/pnhekakhikkhloodcedfcmfpjddcagpi?hl=zh-CN
使用
在目标列表添加需要检测的站点
插入你的payload