テストにXSSの脆弱性XSSテストプラットフォームとクッキーの取得プラットフォームのWebページを受け取り、XSSは、ページのコードを変更し、普及にクッキー、追加および削除背景記事、釣り、使用XSS脆弱性を盗む含むがこれらに限定されないJSが行うことができますすべてのものを、行うことができ、ウェブサイト本明細書で使用されるリダイレクト、ユーザ情報を取得する(例えば、ブラウザ情報、IPアドレス、等のような)、それはxsser.meソース基づいています。
ビルド手順:
Windowsシステム上でWAMPをインストール1.
- ダウンロードします。https://pan.baidu.com/s/1HY0hFnj6ywKjwHhB1vlOfg
- ms08067.com:パスワードを抽出
- インストールするには、ダブルクリックして
2.ダウンロードXSSテストプラットフォームのインストールファイル、ファイル解凍、フォルダXSSに名前とWWW WAMPディレクトリにコピー。
- ダウンロードします。https://pan.baidu.com/s/1qovj7Z-3LdDLVgh8EVkAGw
- ms08067.com:パスワードを抽出
3.スタートWAMPサービス、オープンのhttp:// localhost /をphpMyAdminは/、データベース内に新しいデータベースxssplatform、およびデータベースにxssplatform.sqlファイルのソースコードを作成します。
4. [変更のconfig.phpファイル情報。
- ユーザー名、パスワード、およびデータベース名を含む、データベース接続のフィールドを変更します。
- レジスタ構成は、通常の状態に変更された招待します。
- 自分のURLのURLを変更して設定します。
自分のドメイン名のURLを変更するためのステートメントを実行するように構成されているデータベースを入力します:
UPDATE oc_moduleセットコード= REPLACE(コード、' http://xsser.me '、' http://127.0.0.1/xss ')。
6.オープンWebページが(http://127.0.0.1/xss)、登録、登録ユーザをクリックして、そのページが見つかりません文句を言うでしょう。
7. NOTFOUND問題を解決
- 将www\xss\templates_c\..............register.html.php中的btn btn-success改为submit
- 将www\xss\themes\default\templates\register.html中的btn btn-success改为submit
- 清除浏览器缓存
8.重新注册账号(邀请码随便写),成功。
9.到数据库中把oc_user表中的用户的adminLevel值改为1,这样你就可以管理邀请码了。
10.将config.php文件中注册配置中的normal改为invite。
11.在xss根目录下创建一个.htaccess文件,文件内容如下:
<IfModule mod_rewrite.c> RewriteEngine on RewriteRule ^([0-9a-zA-Z]{6})$ index.php?do=code&urlKey=$1 RewriteRule ^do/auth/(\w+?)(/domain/([\w\.]+?))?$ index.php?do=do&auth=$1&domain=$3 RewriteRule ^register/(.*?)$ index.php?do=register&key=$1 RewriteRule ^register-validate/(.*?)$ index.php?do=register&act=validate&key=$1 RewriteRule ^login$ index.php?do=login </IfModule>
12.此时你再随便使用邀请码就不能注册成功了,系统会提示你的邀请码不正确。
13.admin用户登录,点击邀请,进入邀请码生成界面,点击“生成其他邀请码”,生成邀请码,使用此邀请码注册新用户方能成功。
14.补充:如果你的系统仅能本机使用http://127.0.0.1/xss/进行访问,其他主机通过IP/xss/无法访问,那么可以打开wamp\bin\apache\apache2.4.9\conf目录中中的httpd.conf文件,通过如下方式进行修改