移动安全 安全管理 应用案例 网络威胁 系统安全应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 应用安全 >

使用Tamper Data提交XSS攻击数据

时间:2013-03-11 14:59来源: 点击:
作为 Firefox 的插件, Tamper Data 简单易用,功能强大,可以用来查看和修改 HTTP/HTTPS 的头部和 POST 参数,模型web攻击. 使用Tamper Data提交XSS攻击数据
TagsXSS(21)应用(124)Tamper Data(2)攻击数据(2)  

  作为 Firefox 的插件, Tamper Data 简单易用,功能强大,可以用来查看和修改 HTTP/HTTPS 的头部和 POST 参数,模型web攻击;可以用来跟踪 HTTP 请求和响应并记时

  作为 Firefox 的插件, Tamper Data 简单易用,功能强大,可以用来查看和修改 HTTP/HTTPS 的头部和 POST 参数,模型web攻击;可以用来跟踪 HTTP 请求和响应并记时

  一. 简介

  作为 Firefox 的插件, Tamper Data 简单易用,功能强大,可以用来查看和修改 HTTP/HTTPS 的头部和 POST 参数,模型web攻击;可以用来跟踪 HTTP 请求和响应并记时;

  二. 使用

  Tamper提供请求监控和修改功能

  2.1 请求监听

\

  工具页面分为:

  监控窗口:

  firefox所有tab打开网页发送的 HTTP 请求及其对应的响应都会被 Tamper Data 监控下来(默认状态)

  左下角窗口为每个请求的头信息。类似Firebug。

  右下角窗口为每个请求的返回头信息,类似Firebug。请求返回的详细信息,要通过鼠标右键 点击http请求-view source来显示。

  注:Filter 可以只显示指定的请求。

  2.2 拦截请求

  在点击Start Tempar之后,会弹窗:

\

  点击Tamper:

\

  右键,可以:添加新的请求参数、请求头,在参数名上右键,可以弹出菜单,其中有 xss/sql/data 选项,xss有预定义xss script脚本。或者直接修改 参数对应的value。点击确定之后,就会提交请求。

  XSS攻击示例

  对接口,自定义皮肤:http://t.163.com/user.do?action=updateUserConfig进行非法数据提交(xss)

  Start Tamper,点击页面的保存按钮。

  会弹窗:

\

  "Tamper"操作:

  修改为:

  提交之后:

\

  返回555,后台禁止 非法数据提交。

  原理:

\

  三. Tamper Option

  默认不支持图片拦截,可以在Option选项中启用。Context Menu也可以添加一些自定义数据。

  四. xss攻击常用符号

  [1] <>(尖括号)

  [2] "(引号)

  [3] '(单引号)

  [4] %(百分比符号)

  [5] ;(分号)

  [6] (括号)

  [7] &(& 符号)

  [8] +(加号)

------分隔线----------------------------

推荐内容