GWT-xssペイロードを注入するためのburpスイートの使用
Google Webtool Kitフレームワークを使用して、侵入テスト用の小さなWebサイトを構築します。
ただし、次のコードを使用して、アプリケーションをxssに対して脆弱にすることができました。
final HTML xssWidget = new HTML();
xssButton.addClickHandler(new ClickHandler() {
@Override
public void onClick(ClickEvent event) {
xssWidget.setHTML(xssTextField.getText());
}
});
ご覧のとおり、私はHTMLウィジェットを使用して入力情報をUIに直接表示しています。ユーザーがテキストフィールドにテキストを入力すると、ボタンをクリックした直後に表示されます。
これまでのところ良好です。問題は、送信したリクエストを記録するためにburp suiteを使用できず、これを侵入者またはリピーターの基本リクエストとして使用できないことです。そのボタンをクリックすることは、サーバーに向けられていない(相互作用がない)ため、「技術的に」げっぷでは見られません。
誰かアドバイスをいただけますか?よろしく、ナザール
Burpはプロキシとして機能しており、XSSの演習はクライアント側でのみ行われるため、私が知る限り、Burpは役に立ちません(たとえば、DOMマニピュレーターではないため)。
休憩にBurpを関与させたい場合、およびそれがプロキシとして機能しているため、httpリクエストをキャプチャして再生できるように(そしてパラメータをファジングできるように)コードを調整する必要があります。
「ペイロード」パラメーターを使用してリクエストを送信するフォームを用意し、イベントハンドラーを介してDOMのコンテンツに入力することをお勧めします。そうすることで、「ペイロード」パラメータのファジングなど、Burpの機能を使用できるようになります。