使用burpsuite简单验证跨站点脚本编制XSS的方法之一

一个可以迅速验证跨站点脚本编制的问题，顺带着还可以验证链接注入和框架钓鱼。能够迅速验证跨站点的一个重要要求还是需要知道如何使用burpsuite的proxy这个模块。

四个比较重要按钮的作用。

Forward：提交数据包给服务器

Drop：丢弃当前的数据包，不上传给服务器

Intercept off/on：截断代理。截取客户端请求服务器的数据包。

Action：将数据包发送到其他功能模块等等。

让我们来验证一个问题吧

首先，我们要确定cityName这个参数是在页面的那个位置。。。

我也不多讲如何找到这个cityName参数如何找到的了，请看图吧

接着，我们要触发这个参数，将这个参数传到服务器

开启burpsuite，然后点击按钮，即可传递该参数

看，已经截取到了。（注：burpsuite不能正常显示中文）

我们先提交一下，因为我们不需要这个数据包。（注：你们也可以试试往这里加入跨站点的代码，不过没效果的）

（注：不要感到意外，亲测功能是没有问题的，只是截断过程中有些数据包还没有交互而已）接着，我要在选择市

我需要的就是在下图进行修改

接着我们将一段xss代码放置在目标参数下

接着，我们只要一直提交就行了

下图就是报错的信息