我正在使用Burp Tool和Firefox。
这是攻击。
http://localhost/xssWebsite/?aParameter=<script>alert('XSS');</script>
我以两种方式执行此攻击。
使用Burp Suite转发器工具。
GET / xssWebsite /?aParameter = <script>alert('XSS');</script>
包含其他http标头。
提取的响应包括<script>alert('XSS');</script>
当我尝试使用Firefox完成相同操作时。
Firefox在发送请求之前对URL进行编码,因此响应还包含未执行的编码脚本。
我们可以使用像burp这样的工具来利用这种类型的xss攻击吗?
答案 0 :(得分:0)
较新的浏览器已经对URL进行了编码,即使您已禁用XSS过滤器,这些仍然会被编码。
为了对您的调查结果进行POC,例如弹出警告框,您可以使用旧浏览器。
您也可以使用IETester,并使用IE6选项卡进行模拟。请注意警告框可能无法在IEtester中使用,您可以使用“确认”而不是
答案 1 :(得分:0)
使用像Burp Suite这样的代理工具,并通过拦截请求来更改参数。