使用xsser.me源代码搭建XSS渗透测试平台

首先,使用的是基于xsser.me源代码的修改版,可以进行邮件和短信通知,源代码来源于:http://www.1937cn.net/?p=203 


该源代码包我会放在下面的附件中,在51CTO下载频道应该也可以搜到,不需要下载豆的。根据这个源码包进行实际搭建时,基本上只需要修改几处即可,下面我只说几个关键点,详细配置可参考:

http://blog.csdn.net/cnsecs/article/details/9159357

1 文件xssplatform.sql:将里面的几处域名修改为自己的域名,比如:

wKioL1Yk9qjzQBpLAALuBWyWRHg501.jpg

2 文件config.php,修改里面的数据库连接信息以及域名,其他比如注册方式等配置可以自行根据注释配置

wKiom1Yk99Kz3mJ0AAXi9dk-ljw597.jpg


好了,经过上面的设置后,在本地基本上已经可以运行起来了。其他的一些设置,比如说:邮件提醒,短信提醒,伪静态等可以自行参考压缩包中的“安装说明.txt”


好吧,今天我写这篇博客主要不是为了说明其他人都已经写得很清楚的配置问题,而是因为我在实际测试时碰到了一点在这些说明上都没有写到的一个问题,那就是:在本地测试时很正常,但是当我把网站挂到阿里云上时,可以正常注册登录,不过直接输入域名时显示空白,不会自动转到登录页面,手动输入登录页面登录时,登录成功后转到主页,页面显示一片空白


对于这个问题,经过百度之后,虽然没有找到解决办法,但是看到也有一些小伙伴也有同样的问题,故写下这篇博客,写上我的解决办法,以使他人有所参考


解决办法:

    需要对PHP.ini的一项环境相关参数进行设置,将“输出缓冲区数据块”设置为“启用”,阿里云是在 主机管理控制台 进行设置

wKioL1Yk_ADy3woLAALdoeT8lvI181.jpg


注: 1 下面附件是源码包以及详细配置

   2 建议不要使用压缩包中的那个谷歌插件:xsser.crx ,因为这个插件被乌云爆过漏洞,地址:http://www.wooyun.org/bugs/wooyun-2010-013414

你可能感兴趣的:(xss,xsser.me,XSS平台,页面空白)