我们知道XSS漏洞分为存储型、反射型、DOM型,最常见的就是利用XSS漏洞弹窗,进一步获取用户Cookie信息。可是如今的WEB系统,有的已经设置HttpOnly属性,有的在请求头中使用Authorization字段提供token令牌,这导致了我们难以获取到用户的身份信息。在这个背景下,XSS漏洞好像越来越没用了。
BeEF-XSS是一款非常强大的XSS平台,集成了许多payload,利用它可以极大的提高XSS漏洞的威力。
(1)下载地址:https://github.com/beefproject/beef
(2)Centos7安装ruby
- yum -y install ruby ruby-devel rubygems rpm-build
- ruby -v
-
- gem sources -a http://mirrors.aliyun.com/rubygems/ http://mirrors.aliyun.com/rubygems/ added to sources
- wget https://rvm.io/mpapis.asc
- gpg --import mpapis.asc
- curl -sSL https://get.rvm.io | bash
-
- yum in