搭建XSS测试平台

XSS测试平台是测试XSS漏洞获取cookie并接收web页面的平台，XSS可以做js能做的所有事情，包括但不限于窃取cookie，后台增删文章、钓鱼、利用xss漏洞进行传播、修改网页代码、网站重定向、获取用户信息（如浏览器信息、IP地址等），这里使用的是基于xsser.me的源码。

搭建步骤：

1.在Windows系统中安装WAMP

• 下载地址：https://pan.baidu.com/s/1HY0hFnj6ywKjwHhB1vlOfg
• 解压密码：ms08067.com
• 双击安装即可

2.下载xss测试平台安装文件，解压文件，将文件夹名改为xss并将其拷贝到wamp的www目录下。

• 下载地址：https://pan.baidu.com/s/1qovj7Z-3LdDLVgh8EVkAGw
• 解压密码：ms08067.com

3.启动wamp服务，打开http://localhost/phpmyadmin/，在数据库中新建一个xssplatform数据库，并将源码中的xssplatform.sql文件导入到数据库中。

4.修改config.php文件信息。

• 修改数据库连接字段，包括用户名、密码和数据库名。
• 将注册配置中的invite改为normal。
• 修改URL配置为自己的url配置。

5.进入数据库中执行语句修改域名为自己的url配置：

UPDATE oc_module SET code=REPLACE(code,'http://xsser.me','http://127.0.0.1/xss') ;

6.打开网页（http://127.0.0.1/xss），点击注册，注册一个用户，此时页面会报错Not Found。

7.解决notfound问题

• 将www\xss\templates_c\..............register.html.php中的btn btn-success改为submit
• 将www\xss\themes\default\templates\register.html中的btn btn-success改为submit
• 清除浏览器缓存

8.重新注册账号（邀请码随便写），成功。

9.到数据库中把oc_user表中的用户的adminLevel值改为1，这样你就可以管理邀请码了。

10.将config.php文件中注册配置中的normal改为invite。

11.在xss根目录下创建一个.htaccess文件，文件内容如下：

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteRule ^([0-9a-zA-Z]{6})$ index.php?do=code&urlKey=$1
RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ index.php?do=do&auth=$1&domain=$3
RewriteRule ^register/(.*?)$ index.php?do=register&key=$1
RewriteRule ^register-validate/(.*?)$ index.php?do=register&act=validate&key=$1
RewriteRule ^login$ index.php?do=login
</IfModule>

12.此时你再随便使用邀请码就不能注册成功了，系统会提示你的邀请码不正确。

13.admin用户登录，点击邀请，进入邀请码生成界面，点击“生成其他邀请码”，生成邀请码，使用此邀请码注册新用户方能成功。

14.补充：如果你的系统仅能本机使用http://127.0.0.1/xss/进行访问，其他主机通过IP/xss/无法访问，那么可以打开wamp\bin\apache\apache2.4.9\conf目录中中的httpd.conf文件，通过如下方式进行修改