GWT -使用burp套件注入xss有效载荷

Question

我使用Google Webtool Kit框架构建了一个用于渗透测试的小型网站。

但是，通过使用以下代码，我能够使应用程序易受xss攻击：

final HTML xssWidget = new HTML();
xssButton.addClickHandler(new ClickHandler() {

    @Override
    public void onClick(ClickEvent event) {
        xssWidget.setHTML(xssTextField.getText());
    }
});

如您所见，我正在使用HTML小部件直接在UI中显示输入信息。当用户将某些文本填入文本字段时，将在单击按钮后立即显示。

到目前为止还不错..。问题是，我不能使用burp套件来记录我发送的请求，并将其用作入侵者或复制者的基本请求。点击这个按钮“技术上”没有在打嗝中看到，因为它没有指向服务器(没有交互)。

有人能给我个建议吗？向你问好，纳扎尔

Answer 1

由于Burp是代理，而且您的XSS练习只发生在客户端，据我所知，Burp将没有任何用处(例如，它不是DOM操纵器)。

如果您想让Burp参与您的休息，并且因为它是代理，那么您必须修改代码，以便捕获和重放http请求(以及哪些参数可以被模糊化)。

我建议您有一个表单来提交带有“有效负载”参数的请求，并通过事件处理程序填充DOM的内容。通过这样做，您将能够使用Burp的特性，包括“有效载荷”参数的模糊化