使用burpsuite簡單驗證跨站點腳本編制XSS的方法之一

一個可以迅速驗證跨站點腳本編制的問題，順帶著還可以驗證鏈接注入和框架釣魚。能夠迅速驗證跨站點的一個重要要求還是需要知道如何使用burpsuite的proxy這個模塊。

四個比較重要按鈕的作用。

Forward：提交數(shù)據(jù)包給服務器

Drop：丟棄當前的數(shù)據(jù)包，不上傳給服務器

Intercept off/on：截斷代理。截取客戶端請求服務器的數(shù)據(jù)包。

Action：將數(shù)據(jù)包發(fā)送到其他功能模塊等等。

讓我們來驗證一個問題吧

首先，我們要確定cityName這個參數(shù)是在頁面的那個位置。。。

我也不多講如何找到這個cityName參數(shù)如何找到的了，請看圖吧

接著，我們要觸發(fā)這個參數(shù)，將這個參數(shù)傳到服務器

開啟burpsuite，然后點擊按鈕，即可傳遞該參數(shù)

看，已經(jīng)截取到了。（注：burpsuite不能正常顯示中文）

我們先提交一下，因為我們不需要這個數(shù)據(jù)包。（注：你們也可以試試往這里加入跨站點的代碼，不過沒效果的）

（注：不要感到意外，親測功能是沒有問題的，只是截斷過程中有些數(shù)據(jù)包還沒有交互而已）接著，我要在選擇市

我需要的就是在下圖進行修改

接著我們將一段xss代碼放置在目標參數(shù)下

接著，我們只要一直提交就行了

下圖就是報錯的信息