XSS攻擊數據如何提交

2012/12/25 0:50:53  出處：本站原創   人氣：476次    字號：小  中  大

今天給您介紹的是一個關于使用使用Tamper Data提交XSS攻擊數據的圖文介紹，Tamper Data 簡單易用，功能強大，可以用來查看和修改 HTTP/HTTPS 的頭部和 POST 參數，模型web攻擊；可以用來跟蹤 HTTP 請求和響應并記時。

一. 簡介

作為 Firefox 的插件， Tamper Data 簡單易用，功能強大，可以用來查看和修改 HTTP/HTTPS 的頭部和 POST 參數，模型web攻擊；可以用來跟蹤 HTTP 請求和響應并記時；

二. 使用

Tamper提供請求監控和修改功能

2.1 請求監聽

工具頁面分為：

監控窗口：

firefox所有tab打開網頁發送的 HTTP 請求及其對應的響應都會被 Tamper Data 監控下來（默認狀態）

左下角窗口為每個請求的頭信息。類似Firebug。

右下角窗口為每個請求的返回頭信息，類似Firebug。請求返回的詳細信息，要通過鼠標右鍵 點擊http請求-view source來顯示。

注：Filter 可以只顯示指定域名的請求。

2.2 攔截請求

在點擊Start Tempar之后，會彈窗：

點擊Tamper：

右鍵，可以：添加新的請求參數、請求頭，在參數名上右鍵，可以彈出菜單，其中有 xss/sql/data 選項，xss有預定義xss script腳本。或者直接修改 參數對應的value。點擊確定之后，就會提交請求。

XSS攻擊示例

對接口，自定義皮膚：http://t.163.com/user.do?action=updateUserConfig進行非法數據提交（xss）

Start Tamper，點擊頁面的保存按鈕。

會彈窗：

"Tamper"操作：

修改為：

提交之后：

服務器返回555，后臺禁止 非法數據提交。

原理：

三. Tamper Option

默認不支持圖片攔截，可以在Option選項中啟用。Context Menu也可以添加一些自定義數據。

四. xss攻擊常用符號

[1] <>（尖括號）

[2] "（引號）

[3] '（單引號）

[4] %（百分比符號）

[5] ;（分號）

[6] ()（括號）

[7] &（& 符號）

[8] +（加號）