使用Tamper Data提交XSS攻击数据

安全 应用安全
作为 Firefox 的插件, Tamper Data 简单易用,功能强大,可以用来查看和修改 HTTP/HTTPS 的头部和 POST 参数,模型web攻击;可以用来跟踪 HTTP 请求和响应并记时

一. 简介

作为 Firefox 的插件, Tamper Data 简单易用,功能强大,可以用来查看和修改 HTTP/HTTPS 的头部和 POST 参数,模型web攻击;可以用来跟踪 HTTP 请求和响应并记时;

二. 使用

Tamper提供请求监控和修改功能

2.1 请求监听

\

工具页面分为:

监控窗口:

firefox所有tab打开网页发送的 HTTP 请求及其对应的响应都会被 Tamper Data 监控下来(默认状态)

左下角窗口为每个请求的头信息。类似Firebug。

右下角窗口为每个请求的返回头信息,类似Firebug。请求返回的详细信息,要通过鼠标右键 点击http请求-view source来显示。

注:Filter 可以只显示指定域名的请求。

2.2 拦截请求

在点击Start Tempar之后,会弹窗:

\

点击Tamper:

\

右键,可以:添加新的请求参数、请求头,在参数名上右键,可以弹出菜单,其中有 xss/sql/data 选项,xss有预定义xss script脚本。或者直接修改 参数对应的value。点击确定之后,就会提交请求。

XSS攻击示例

对接口,自定义皮肤:http://t.163.com/user.do?action=updateUserConfig进行非法数据提交(xss)

Start Tamper,点击页面的保存按钮。

会弹窗:

\

"Tamper"操作:

\

修改为:

\

提交之后:

\

服务器返回555,后台禁止 非法数据提交。

原理:

\

三. Tamper Option

默认不支持图片拦截,可以在Option选项中启用。Context Menu也可以添加一些自定义数据。

四. xss攻击常用符号

[1] <>(尖括号)

[2] "(引号)

[3] '(单引号)

[4] %(百分比符号)

[5] ;(分号)

[6] ()(括号)

[7] &(& 符号)

[8] +(加号)

责任编辑:蓝雨泪 来源: 红黑联盟
相关推荐

2016-09-30 20:16:44

2013-04-07 10:11:27

2017-05-16 14:25:28

2010-09-13 10:14:30

2013-07-26 14:59:13

2020-11-30 23:37:48

ReactXSS攻击网络攻击

2013-01-11 17:33:46

2010-08-30 11:15:38

2013-04-26 11:26:00

2011-04-14 12:33:43

2011-08-30 14:48:02

2021-06-30 07:25:35

开发JavaXSS

2017-09-19 15:45:39

2012-11-15 09:51:36

2010-09-10 14:13:11

2013-01-28 16:44:50

2013-05-28 14:18:04

2020-12-21 09:40:06

脚本攻击XSS漏洞

2013-05-22 18:06:41

2018-10-11 15:20:02

点赞
收藏

51CTO技术栈公众号