一、XSS平台原理
XSS(Cross-site scripting)跨站脚本攻击是一种常见的Web攻击手段。攻击者通过在网站中插入有害的脚本,使得用户在访问网站时,浏览器会将脚本执行,导致用户信息泄露。XSS平台就是为了便于对目标网站进行XSS攻击而设计的一种工具。
XSS平台其原理主要是实现了用Javascript封装恶意payload并上传至服务器上,通过对目标url的拼接和参数替换,将恶意payload注入到目标网址中当访问的时候触发漏洞,从而攻击目标网站。
二、XSS平台闯关怎么使用
XSS平台闯关就是用XSS平台对设计好的游戏进行攻击的过程。使用XSS平台闯关的步骤如下:
Step1: 打开XSS平台
https://github.com/CHYbeta/OWASP-WebGoat-XSS-Platform
Step2: 选定闯关游戏,点击选择
python start.py
Step3: 开始攻击
跟据页面提示,在XSS平台中输入你的payload,然后将XSS平台提供的url放到浏览器中打开,当目标网站被攻击时,就可以获取到flag。
三、XSS平台搭建
XSS平台的搭建可以分为两个阶段:
Step1: 安装WebGoat
WebGoat是一款专门为Web安全培训教学而设计的Web应用程序,支持多种Web漏洞,包括XSS。在本地搭建XSS平台的第一步就是要安装这个WebGoat。
### 安装Java(参考:https://www.cnblogs.com/zhoudayang/p/11209135.html) yum install -y java-1.8.0-openjdk.x86_64 ### clone WebGoat git clone https://github.com/WebGoat/WebGoat.git cd WebGoat ### 运行WebGoat ./run_webgoat.sh
Step2: 安装XSSPlatform
XSSPlatform是在WebGoat基础上开发出来的一套练习XSS的平台。在WebGoat站点根目录下,以以下命令进行下载安装:
wget https://github.com/CHYbeta/OWASP-WebGoat-XSS-Platform/archive/master.zip unzip -q master.zip -d .. && mv ../OWASP-WebGoat-XSS-Platform-master/ ./WebGoat-XSS-Platform
安装完成后,可以访问 http://127.0.0.1:8080/WebGoat-XSS-Platform/ 进行XSS漏洞的学习和演示。
四、XSS平台搭建教程
XSS平台的搭建可以分为三个步骤:
Step1: 下载WebGoat
WebGoat是一款专门为Web安全培训教学而设计的Web应用程序,支持多种Web漏洞,包括XSS。在本地搭建XSS平台的第一步是要下载这个WebGoat。
wget https://github.com/WebGoat/WebGoat/releases/download/v8.1.0/webgoat-server-8.1.0-war-exec.jar
Step2: 下载XSSPlatform
XSSPlatform是在WebGoat基础上开发出来的一套练习XSS的平台。在WebGoat站点根目录下,以以下命令进行下载安装:
wget https://github.com/CHYbeta/OWASP-WebGoat-XSS-Platform/archive/master.zip unzip -q master.zip -d .. && mv ../OWASP-WebGoat-XSS-Platform-master/ ./WebGoat-XSS-Platform
Step3: 启动WebGoat
nohup java -jar ./webgoat-server-8.1.0-war-exec.jar --server.address=127.0.0.1 --server.port=8888 > /dev/null 2>&1 &
安装完成后,可以访问 http://127.0.0.1:8888/WebGoat 进行XSS漏洞的学习和演示。
五、XSS平台是什么
前文我们已经提到,XSS平台就是一种用于漏洞测试或攻击的工具,更具体的定义是,XSS平台可以帮助安全从业人员和攻击者,自动化的实现XSS攻击测试,从而提高漏洞的发现效率和准确度。
六、XSS平台使用教程
XSS平台的使用教程大致如下:
Step1: 打开XSS平台,在payload编辑器中编写自己的payload
Step2: 在目标站点中找到能够执行XSS攻击的地方,比如表单中
Step3: 将payload发送到目标站点
Step4: 当用户访问含XSS代码的页面时,代码自动执行,攻击者拿到cookie,从而进行其他一些操作。
七、XSS平台游戏
XSS平台一般都是结合游戏的形式提供,以加强学习趣味性。比如WebGoat中的XSSPlatform,是WebGoat开发了一个XSS游戏平台。在这里我们可以尽情地测试和学习XSS攻击相关知识。
八、XSS平台搭建步骤
XSS平台的搭建步骤通常可以分为以下几步:
Step1: 部署Web应用程序,比如WebGoat
Step2: 下载XSS平台,解压并放到Web应用程序中
Step3: 启动Web应用程序
之后,在XSS平台中我们就可以开始编写payload,开始对Web应用程序进行XSS攻击了。
九、XSS平台使用方法
XSS平台的使用方法主要分为如下两步:
Step1: 编写自己的payload
Step2: 将payload注入到目标站点中,并在用户访问时触发
当用户访问含XSS代码的页面时,代码自动执行,攻击者拿到cookie,从而进行其他一些操作。
十、XSS平台源码
XSS平台的源代码通常都是开源的,其中比较著名的几个有WebGoat、HackThisSite、DVWA等。在Github上,可以找到很多XSS相关的工具和平台,比如XSStrike、Beef、XSS-Payloads、XSS-Scanner、BXSS、反射XSS、DOM based XSS等。