web-dev-qa-db-ja.com

GWT-xssペイロードを注入するためのburpスイートの使用

Google Webtool Kitフレームワークを使用して、侵入テスト用の小さなWebサイトを構築します。

ただし、次のコードを使用して、アプリケーションをxssに対して脆弱にすることができました。

final HTML xssWidget = new HTML();
xssButton.addClickHandler(new ClickHandler() {

    @Override
    public void onClick(ClickEvent event) {
        xssWidget.setHTML(xssTextField.getText());
    }
});

ご覧のとおり、私はHTMLウィジェットを使用して入力情報をUIに直接表示しています。ユーザーがテキストフィールドにテキストを入力すると、ボタンをクリックした直後に表示されます。

これまでのところ良好です。問題は、送信したリクエストを記録するためにburp suiteを使用できず、これを侵入者またはリピーターの基本リクエストとして使用できないことです。そのボタンをクリックすることは、サーバーに向けられていない(相互作用がない)ため、「技術的に」げっぷでは見られません。

誰かアドバイスをいただけますか?よろしく、ナザール

1
Nazar Medeiros

Burpはプロキシとして機能しており、XSSの演習はクライアント側でのみ行われるため、私が知る限り、Burpは役に立ちません(たとえば、DOMマニピュレーターではないため)。

休憩にBurpを関与させたい場合、およびそれがプロキシとして機能しているため、httpリクエストをキャプチャして再生できるように(そしてパラメータをファジングできるように)コードを調整する必要があります。

「ペイロード」パラメーターを使用してリクエストを送信するフォームを用意し、イベントハンドラーを介してDOMのコンテンツに入力することをお勧めします。そうすることで、「ペイロード」パラメータのファジングなど、Burpの機能を使用できるようになります。

1
niilzon