摘要：一背景筆者月份在慕課網(wǎng)錄制視頻教程跨站漏洞加強安全里面需要講到很多實戰(zhàn)案例，在漏洞挖掘案例中分為了手工挖掘工具挖掘代碼審計三部分內(nèi)容手工挖掘篇參考地址為快速找出網(wǎng)站中可能存在的漏洞實踐一本文主要記錄利用安全工具進行漏洞挖掘部分，分為了設置代

筆者6月份在慕課網(wǎng)錄制視頻教程XSS跨站漏洞 加強Web安全,里面需要講到很多實戰(zhàn)案例，在漏洞挖掘案例中分為了手工挖掘、工具挖掘、代碼審計三部分內(nèi)容,手工挖掘篇參考地址為快速找出網(wǎng)站中可能存在的XSS漏洞實踐(一)https://segmentfault.com/a/1190000016095198

本文主要記錄利用Web安全工具Burp suite進行XSS漏洞挖掘部分，分為了設置代理，漏洞掃描，漏洞驗證三個部分，其中permeate滲透測試系統(tǒng)的搭建可以參考第一篇文章。

下載工具

設置代理

漏洞掃描

漏洞驗證

在本文中是使用的工具burp suite需要JAVA環(huán)境才能運行，所以需要事先安裝好JAVA環(huán)境，JAVA環(huán)境安裝方法本文中再贅述，讀者可以自行搜索JAVA JDK環(huán)境安裝；

burp suite的官網(wǎng)地址為:https://portswigger.net/burp/,打開官網(wǎng)后可以看到burp分為三個版本，分別是企業(yè)版、專業(yè)版、社區(qū)版本,在本文中筆者所使用的是專業(yè)版，參考下載地址如下：

鏈接: https://pan.baidu.com/s/1H1ScgZTjPosZsdgjJDM4PA 提取碼: s747

下載并解壓剛才所下載的zip文件，便能看到文件夾中有一些文件和文件夾，如下圖所示

在上圖中可以看到有一個jar文件，此文件便為Java語言所開發(fā)，因此只要安裝了JAVA環(huán)境即可運行，不管是windows還是mac都可以運行此程序，雙擊BurpUnlimited.jar打開此程序，打開之后會有一個提示，如下圖所示

在提示框中告知該程序為破解版本，僅用來學習，如果可以請購買正版，這里點擊確定按鈕，會再次看到一個確認界面，任然點擊Next按鈕，如下圖所示

最后便能看到程序的界面，如下圖所示

當打開程序看到上圖界面時便是已經(jīng)運行程序成功，下面便將進入burp suite的使用教程。

現(xiàn)在筆者的工具已經(jīng)運行成功，接著便開始使用brup suite開始挖掘出XSS漏洞，使用工具挖掘有三個步驟，第一步便是將一些基礎信息給burp suite，第二步則讓burp suite自行掃描出更多信息，第三步便是開始正是挖掘.

現(xiàn)在筆者需要給工具提供一些基本信息，比如域名和URI地址以及cookie信息和其他各方面的數(shù)據(jù)；提供的方式有兩種，第一種是自己手動去填寫各項信息，第二種則是直接抓獲瀏覽器的數(shù)據(jù)包給burp suite，而手動提供相比較為麻煩，因此筆者這里通過抓瀏覽器的數(shù)據(jù)包的方式，讓工具自己去獲得所需的數(shù)據(jù)；

抓包主要有三個步驟，首先需要讓burp suite開啟代理服務，然后設置瀏覽器的代理地址，最后瀏覽器訪問網(wǎng)址burpsuite便可以看到數(shù)據(jù)包，具體操作流程如下

burp suite開啟代理服務比較簡單，筆者將上方選項卡切換到proxy->Options這個位置，可以看到其實工具已經(jīng)默認其實已經(jīng)開啟代理服務127.0.0.1地址，如下圖所示

在上圖中可以看到了127.0.0.1:8080這個地址，此時已經(jīng)開啟代理服務，因此不需要再做任何設置。

現(xiàn)在代理服務已經(jīng)打開，接著便是讓瀏覽器的數(shù)據(jù)經(jīng)過代理服務，筆者所使用的是谷歌瀏覽器，并安裝了代理插件，這里將以插件設置代理的方式為例，如下圖所示

從上圖當中可以看到筆者所設置的協(xié)議為http代理，地址為127.0.0.1，端口信息為8080

接下來便是要進行代理的驗證，最簡單的驗證方式便是通過瀏覽器打開網(wǎng)站，然后查看burp suite能否抓到數(shù)據(jù)包，筆者在第一篇文章快速找出網(wǎng)站中可能存在的XSS漏洞實踐(一)(https://segmentfault.com/a/1190000016095198)當中已經(jīng)安裝好了對應的滲透測試系統(tǒng)，因此不再重復說明，

在前面的準備操作之后，現(xiàn)在便進入了核心操作環(huán)節(jié)，用burp suite進行抓包、爬蟲、掃描等操作，分別對應的作用是通過抓包獲取基本信息、通過爬蟲獲取即將被掃描的網(wǎng)站更多信息、通過掃描對獲取到的信息進行暴力測試。

筆者現(xiàn)在以permeate滲透測試系統(tǒng)的XSS漏洞挖掘為例，首先通過瀏覽器permeate滲透測試系統(tǒng)，URL地址如下:

http://permeate.songboy.net/

按下回車鍵之后，瀏覽器此時應該是處于等待狀態(tài)，此時回到工具burp suite當中，可以看到已經(jīng)抓到了數(shù)據(jù)包，如下圖所示

點擊工具中的Forward按鈕，便可以將此放開，此時瀏覽器所展現(xiàn)的界面如下圖所示，說明頁面已經(jīng)被打開

再次刷新瀏覽器，依然可以抓取到數(shù)據(jù)包，這次筆者需要通過burp suite去抓取permeate滲透測試系統(tǒng)中的URL地址，這個過程筆者稱之為爬蟲，操作方式如下圖所示

在數(shù)據(jù)包的位置，右鍵單擊點擊，出現(xiàn)選項，點擊send to spider之后，便可以在spier選項卡中可以看到如下圖所示

在上圖中可以看到burp suite已經(jīng)找到了permeate中的46個鏈接地址，接著筆者切換到target選項卡當中，如下圖所示

在target選項卡下，可以看到爬去到的所有鏈接地址

在收集到了permeate滲透測試系統(tǒng)中的大部分URL的地址之后，就可以使用burp suite進行滲透測試工作，在滲透測試中會針對每一個地址進行常規(guī)漏洞的測試，包含了SQL注入、XSS跨站、命令執(zhí)行、CSRF、明文表單、文件包含等方面的漏洞

本文中筆者以XSS漏洞為例，在target選項卡下，選中對應的域名地址，鼠標單擊右鍵，便可以看到Actively scan this host這一選項，如下圖所示

點擊之后該選項之后，便進入下一交互框當中，此時可以去除一些沒有參數(shù)的URL地址，筆者這里勾選后將會去除沒有參數(shù)的URL地址，以及后綴為js、gif、jpg、png、css的地址，如下圖所示

點擊下一步之后，便可以看到篩選后的URL地址，如下圖所示

再次點擊下一步之后，便開始進行了滲透測試，此時點擊選項卡scanner便可以看到掃描的進度以及掃描的結(jié)果大致狀態(tài)

工具burp suite在掃描出漏洞之后會給出提示，但提示并不是完全準確，因此還需要人為的驗證

滲透測試所花費的時間是是由URL數(shù)量和網(wǎng)速所決定的，通常需要一定的時間，筆者可以在選項卡Scanner中的子選項卡Scan issue中可以看到滲透測試的進度以及掃描的大致情況，比如有些項當中呈現(xiàn)出紅色，則代表掃描到高危漏洞，如下圖所示

當掃描完成之后，可以在Scanner下的子選項卡Issue activity中看到完整的結(jié)果，結(jié)果中的紅色表示高危漏洞，橙色表示低危漏洞，灰色則表示提示性安全為題，筆者選中其中一個紅色選項卡，類型為Cross-site scripting,這個便是XSS漏洞，在下方可以看到的具體payload，如下圖所示

在payload當中，點擊右鍵單擊便可以復制其URL地址，可將其URL地址用于漏洞驗證使用，如下圖所示

現(xiàn)在筆者通過瀏覽器人工的驗證一下此payload是否真正存在，剛才筆者已經(jīng)將帶有payload的地址復制了下來，URL地址如下

http://permeate.songboy.net/home/index.php?m=tiezie2eir%3cscript%3ealert(1)%3c%2fscript%3eftspc&a=index&bk=10

驗證的時候注意一定不要使用谷歌內(nèi)核的瀏覽器，因為谷歌內(nèi)核瀏覽器自帶XSS篩選器，會到導致網(wǎng)站及時存在反射型的XSS也無法復現(xiàn)

因此筆者使用火狐瀏覽器進行漏洞驗證，如下圖所示

如果對筆者的Web安全文章較為感興趣，可以關注筆者更多文章內(nèi)容，新書《PHP Web安全開發(fā)實戰(zhàn)》，現(xiàn)已在各大平臺銷售，封面如下圖所示

作者：湯青松

微信：songboy8888

日期：2018-10-09