搭建XSS测试平台
XSS测试平台是测试XSS漏洞获取cookie并接收web页面的平台,XSS可以做js能做的所有事情,包括但不限于窃取cookie,后台增删文章、钓鱼、利用xss漏洞进行传播、修改网页代码、网站重定向、获取用户信息(如浏览器信息、IP地址等),这里使用的是基于xsser.me的源码。
搭建步骤:
1.在Windows系统中安装WAMP
- 下载地址:https://pan.baidu.com/s/1HY0hFnj6ywKjwHhB1vlOfg
- 解压密码:ms08067.com
- 双击安装即可
2.下载xss测试平台安装文件,解压文件,将文件夹名改为xss并将其拷贝到wamp的www目录下。
- 下载地址:https://pan.baidu.com/s/1qovj7Z-3LdDLVgh8EVkAGw
- 解压密码:ms08067.com
3.启动wamp服务,打开http://localhost/phpmyadmin/,在数据库中新建一个xssplatform数据库,并将源码中的xssplatform.sql文件导入到数据库中。
4.修改config.php文件信息。
- 修改数据库连接字段,包括用户名、密码和数据库名。
- 将注册配置中的invite改为normal。
- 修改URL配置为自己的url配置。
5.进入数据库中执行语句修改域名为自己的url配置:
UPDATE oc_module SET code=REPLACE(code,'http://xsser.me','http://127.0.0.1/xss') ;
6.打开网页(http://127.0.0.1/xss),点击注册,注册一个用户,此时页面会报错Not Found。
7.解决notfound问题
- 将www\xss\templates_c\..............register.html.php中的btn btn-success改为submit
- 将www\xss\themes\default\templates\register.html中的btn btn-success改为submit
- 清除浏览器缓存
8.重新注册账号(邀请码随便写),成功。
9.到数据库中把oc_user表中的用户的adminLevel值改为1,这样你就可以管理邀请码了。
10.将config.php文件中注册配置中的normal改为invite。
11.在xss根目录下创建一个.htaccess文件,文件内容如下:
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteRule ^([0-9a-zA-Z]{6})$ index.php?do=code&urlKey=$1
RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ index.php?do=do&auth=$1&domain=$3
RewriteRule ^register/(.*?)$ index.php?do=register&key=$1
RewriteRule ^register-validate/(.*?)$ index.php?do=register&act=validate&key=$1
RewriteRule ^login$ index.php?do=login
</IfModule>
12.此时你再随便使用邀请码就不能注册成功了,系统会提示你的邀请码不正确。
13.admin用户登录,点击邀请,进入邀请码生成界面,点击“生成其他邀请码”,生成邀请码,使用此邀请码注册新用户方能成功。
14.补充:如果你的系统仅能本机使用http://127.0.0.1/xss/进行访问,其他主机通过IP/xss/无法访问,那么可以打开wamp\bin\apache\apache2.4.9\conf目录中中的httpd.conf文件,通过如下方式进行修改
搭建XSS测试平台的更多相关文章
- Docker实践--搭建Yapi测试平台
背景:项目需要选择不同测试平台,筛选一个最佳平台 现状:一台机器安装多套环境,虚拟机太繁琐 解决方案:通过Docker模拟安装测环境 参考:https://blog.csdn.net/qq_32447 ...
- 如何在SAE搭建属于自己的黑盒xss安全测试平台
Author:雪碧 http://weibo.com/520613815 此篇文章技术含量不高,大牛不喜勿喷,Thx!写这篇文章主要是为了各位小伙伴在SAE搭建XSSING平台的时候少走点弯路(同志们 ...
- centos平台基于snort、barnyard2以及base的IDS(入侵检测系统)的搭建与测试及所遇问题汇总
centos平台基于snort.barnyard2以及base的IDS(入侵检测系统)的搭建与测试及所遇问题汇总 原创 2016年12月19日 01:20:03 标签: centos / snort ...
- C# asp.net 搭建微信公众平台(可实现关注消息与消息自动回复)的代码以及我所遇到的问题
[引言] 利用asp.net搭建微信公众平台的案例并不多,微信官方给的案例是用PHP的,网上能找到的代码很多也是存在着这样那样的问题或者缺少部分方法,无法使用,下面是我依照官方文档写的基于.net 搭 ...
- ELK_elk+redis 搭建日志分析平台
这个是最新的elk+redis搭建日志分析平台,今年时间是2015年9月11日. Elk分别为 elasticsearch,logstash, kibana 官网为:https://www.elast ...
- linux下利用elk+redis 搭建日志分析平台教程
linux下利用elk+redis 搭建日志分析平台教程 http://www.alliedjeep.com/18084.htm elk 日志分析+redis数据库可以创建一个不错的日志分析平台了 ...
- sublime搭建Java编译平台及编码问题
Sublime自带Java编译功能,当时只能编译不能运行,我们做一下小小的修改就可以让sublime一步完成编译运行的功能,实现sublime搭建Java编译平台. 使用Ctrl + B 编译时,所编 ...
- 一个基于集成jenkins的测试平台
(一)先看测试业务的情况: 有各种各样的任务包括代码构建.部署搭建.单元测试.功能自动化测试(包括许多模块的功能自动化测试,有十几个居多),性能测试.正确性验证:复杂一点的是这些任务在不同的测试阶段中 ...
- 在Windows下用Eclipse+CDT+MinGW搭建C++开发平台
本文提供了在Windows下用Eclipse+CDT+MinGW搭建C / C++开发平台的方法, 测试平台为Windows XP Sp2 CHS. 以下软件均为Windows平台下的版本. 1. ...
随机推荐
- LG_2051_[AHOI2009]中国象棋
题目描述 这次小可可想解决的难题和中国象棋有关,在一个N行M列的棋盘上,让你放若干个炮(可以是0个),使得没有一个炮可以攻击到另一个炮,请问有多少种放置方法.大家肯定很清楚,在中国象棋中炮的行走方式是 ...
- C++输入带空格的字符串
对于字符数组 1.使用 getline() 读入整行数据,回车键输入的换行符确定输入结尾. 调用方法:cin.getline(str, len) 第一个参数str用来存储输入行的数组名称,第二个参数是 ...
- 关于JavaScript中bind、applay、call的区别
在JavaScript中this的指向一直是一个困扰我们的问题,在JavaScript中this的指向是不固定的,但是我们可以通过使用bind().call().apply()来改变this的指向,但 ...
- Jmeter接口之响应断言详解
响应断言 : 对服务器的响应进行断言校验 Apply to 应用范围: main sample and sub sample, main sample only , sub-sample only , ...
- 将配置好的虚拟机文件导入VMware
第一步:打开VMware Workstation Pro 第二步: 选择文件,图示: 第三步:点击打开,选择配置好的虚拟机文件目录 点击打开就ok了,图示
- Proto3:风格
本文介绍.proto文件的编码风格.遵循下面的惯例,可以使你的protocol buffer消息定义和它们对应的类连贯且已读. 注意,protocol buffer风格随时间变化一直在进步,所以可能你 ...
- Thomson Plaza里面的三家店以及水果大会
旅行应该是一个发现的过程,至少我是这么认为的.很多时候并不一定要到什么特别的地方,也可以感受到旅游的乐趣.我觉得只要能看到值得回味的东西就好了.而能回味的东西,往往是需要仔细地来品.像旅行社安排的那样 ...
- Face Recognition 人脸识别该如何测试
猪圈子,一个有个性的订阅号 01 测量人脸识别的主要性能指标有 1.误识率(False;Accept;Rate;FAR):这是将其他人误作指定人员的概率; 2.拒识率(False;RejectRate ...
- Kubelet
Kubelet 相关博客 Kubelet组件深度解析 Kubelet组件解析 Kubelet运行机制分析 Kubelet与apiserver通信 ___ Kubelet组件运行在Node节点上,维持运 ...
- 你有哪些相见恨晚的Chrome 扩展?
「Chrome 没插件,香味少一半」,本期我们就来一起盘点一下chrome上那些相见恨晚的扩展. 1 JSONView2 Adblock Plus3 Keylines4 彩云小译5 单词发现者6 鼠标 ...