使用Burp Suite进行XSS渗透测试 (只为自己做个备忘,甚读)

使用Burp Suite进行XSS渗透测试
测试环境:webgoat burp Suite
测试网址:http://192.168.1.104:8080/WebGoat/start.mvc#attack/1406352188/900

1)在输入框中输入!@#$[]()"",返回 * Whoops, you entered [!@#$[]()""] instead of your three digit code. Please try again.


自己输入的 XSSTEST没有出现。说明有一个输入框有xss注入漏洞,查看源码 发现有 标签
可以确定Enter your three digit access code: 这个框中有XSS注入漏洞


2)其他输入框 全部填1   打开burpsuit代理功能   进行拦截  输入



3)点击右键  跳到repeat  修改 如下可按参数   

如果被过滤则尝试下面


4)右键  选择   request browser ,选择  in current browser session ,复制地址输入到浏览器中

ps 需要在客户端火狐浏览器中安装证书,让客户端对burpsuit产生信任

你可能感兴趣的:(渗透测试)