Web安全中XSS Platform搭建及使用实践是怎样的

本篇文章为大家展示了Web安全中XSS Platform搭建及使用实践是怎样的，内容简明扼要并且容易理解，绝对能使你眼前一亮，通过这篇文章的详细介绍希望你能有所收获。XSS Platform 是一个非常经典的XSS渗透测试管理系统，原作者在2011年所开发，由于后来长时间没有人维护，导致目前在PHP7环境下无法运行。笔者最近花了一点时间将源码移植到了PHP7环境中，同时增加安装功能；另外还修复之前的代码的一些不严谨语法的问题，并调整了一些表单的样式，同时将源代码放到GitHub当中，给有需要的同行研究，为了简化安装步骤，特意写一篇文章来帮助大家。源码下载安装配置攻击测试github地址:https://github.com/78778443/xssplatform首先通过cd命令将代码放到指定位置，参考命令如下之后通过git下载源码，参考命令如下:XSS Platform 需要在根目录中运行，因此需要单独添加一个虚拟主机，笔者以nginx环境为例，配置虚拟主机的配置代码如下所示:修改配置文件后，需要重启nginx让其配置生效，重启命令参考如下:hosts文件位置是/etc/hosts，通过vim命令进行编辑，参考命令如下所示:在文件中添加一行记录，内容如下所示：通过前面添加虚拟主机和添加host解析之后，便可以通过浏览器访问此平台，URL地址为http://xss.localhost/,打开后会自动跳转到安装界面，如下图所示点击我同意此协议按钮之后，将跳转到第二步的填写配置信息界面，在此界面需要填写数据库信息，和管理员账号信息，如下图所示如果数据库信息填写无误，将会看到导入数据成功的提，如下图所示此时便代表安装成功先来熟悉一些XSS Platform的一些功能，在安装完成界面点击进入首页，会要求先登录，在登录界面输入刚才安装时所填写的管理员账号信息，点击登录即可，登录成功之后会自动跳转到首页，如下图所示在首页中可以看到有一个默认项目，点击default后可以看到受害者列表，不过刚刚安装肯定是还没有数据的，如下图所示在图中右上方有一个查看代码的链接，点击进去便可免费云主机域名以查看XSS Platform预备好的攻击代码，如下图所示现在笔者将正是开始进行一些实践演示，首先会找出一个permeate渗透测试系统的XSS漏洞，将XSS Platform的攻击代码插入进去；然后模拟受害者访问到被攻击的页面，会到XSS platform系统中查看收到的cookie值，最后使用接收到的cookie来冒充受害者。permeate 渗透测试系统源码和搭建教程地址可以参考：https://github.com/78778443/permeate笔者此前已经将permeate渗透测试系统搭建成功，下面将在此系统发表一个帖子，并在帖子标题中插入XSS Platform中预备好的攻击代码，如下图所示点击发表按钮，便将帖子发布成功，此时假定自己为受害者，访问了此帖子列表，在列表中会读取帖子的标题，帖子标签别浏览器执行便不会显示出来，如下图所示可以看到并没有显示出来，再回到XSS Platform当中，查看default项目中的受害者列表，可以看到一个受害者，如下图所示说明受害者已经成功中招，并且通过攻击代码已经获取到对方的cookie值和header信息
有了cookie值之后，笔者将使用另外一个浏览器，通过修改cookie的方式来登录受害者的账户，如下图修改cookie的操作
再次刷新时，已经变成了登录身份，如下图所示

上述内容就是Web安全中XSS Platform搭建及使用实践是怎样的，你们学到知识或技能了吗？如果还想学到更多技能或者丰富自己的知识储备，欢迎关注云编程开发博客行业资讯频道。

相关推荐: linux文件的大小能不能限制

这篇文章主要讲解了“linux文件的大小能不能限制”，文中的讲解内容简单清晰，易于学习与理解，下面请大家跟着小编的思路慢慢深入，一起来研究和学习“linux文件的大小能不能限制”吧！ linux文件的大小能限制；不同的文件系统对文件大小的限制是不同的，例如ex…