DNF每日簽到送豪
lol7月神秘商店
LOL黑市亂斗怎么
LOL英雄成就標志相關資訊
本類常用軟件
-
福建農村信用社手機銀行客戶端下載下載量:584204
-
Windows優化大師下載量:416904
-
90美女秀(視頻聊天軟件)下載量:366961
-
廣西農村信用社手機銀行客戶端下載下載量:365699
-
快播手機版下載量:325855
騎自行車的正確
在校大學生該如
微信朋友圈怎么今天給您介紹的是一個關于使用使用Tamper Data提交XSS攻擊數據的圖文介紹,Tamper Data 簡單易用,功能強大,可以用來查看和修改 HTTP/HTTPS 的頭部和 POST 參數,模型web攻擊;可以用來跟蹤 HTTP 請求和響應并記時。
一. 簡介
作為 Firefox 的插件, Tamper Data 簡單易用,功能強大,可以用來查看和修改 HTTP/HTTPS 的頭部和 POST 參數,模型web攻擊;可以用來跟蹤 HTTP 請求和響應并記時;
二. 使用
Tamper提供請求監控和修改功能
2.1 請求監聽
工具頁面分為:
監控窗口:
firefox所有tab打開網頁發送的 HTTP 請求及其對應的響應都會被 Tamper Data 監控下來(默認狀態)
左下角窗口為每個請求的頭信息。類似Firebug。
右下角窗口為每個請求的返回頭信息,類似Firebug。請求返回的詳細信息,要通過鼠標右鍵 點擊http請求-view source來顯示。
注:Filter 可以只顯示指定域名的請求。
2.2 攔截請求
在點擊Start Tempar之后,會彈窗:
點擊Tamper:
右鍵,可以:添加新的請求參數、請求頭,在參數名上右鍵,可以彈出菜單,其中有 xss/sql/data 選項,xss有預定義xss script腳本。或者直接修改 參數對應的value。點擊確定之后,就會提交請求。
XSS攻擊示例
對接口,自定義皮膚:http://t.163.com/user.do?action=updateUserConfig進行非法數據提交(xss)
Start Tamper,點擊頁面的保存按鈕。
會彈窗:
"Tamper"操作:
修改為:
提交之后:
服務器返回555,后臺禁止 非法數據提交。
原理:
三. Tamper Option
默認不支持圖片攔截,可以在Option選項中啟用。Context Menu也可以添加一些自定義數據。
四. xss攻擊常用符號
[1] <>(尖括號)
[2] "(引號)
[3] '(單引號)
[4] %(百分比符號)
[5] ;(分號)
[6] ()(括號)
[7] &(& 符號)
[8] +(加號)