什么是web应用程序笔试的好浏览器？

Question

我刚开始测试web应用程序，我在验证漏洞方面遇到了困难。

似乎所有现代浏览器都有针对XSS之类的保护措施。

当像Burp这样的东西发现XSS漏洞时，我无法在使用类似TamperData的东西时验证它。代码被发送到页面，但它似乎从未执行过。

是否有一个浏览器专门允许XSS和CSRF之类的东西执行，以便进行测试？

Answer 1

大多数浏览器允许您禁用该函数。例如，使用chrome，您需要使用

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --args --disable-web-security

对于Firefox，您必须在地址栏中键入about:config。然后，需要将browser.urlbar.filter.javascript设置为False。

对于，单击Tools-> Internet选项，然后导航到Security。您需要设置自定义安全级别。滚动到底部，您会发现，启用XSS过滤器和禁用它。

Answer 2

你最好的选择是来自OWASP的咒语：

http://www.getmantra.com/

包含大量的渗透测试工具。此外，如果您需要添加/修改任何内容，也可以使用开源。

Answer 3

当像Burp这样的东西发现XSS漏洞时，我无法在使用类似TamperData的东西时验证它。

如果您已经在使用Burp查找漏洞，为什么不使用拦截代理功能修改请求并注入XSS有效负载？