关于xsser.me的使用(图文并茂)

  • A+
所属分类:WooYun-Zone

乌云上某牛给俺买了个邀请码,用了下传说中的xsser.me,于是写下了本文,以飨各路刷zone的黑、灰、绿、白帽子。

xsser.me是一款xss评估测试工具,可以方便的进行黑盒安全测试和进行安全培训的演示等,目前我用的是默认模块,各位牛牛可以自定义模块哦,,所以她也是一款xss漏洞的渗透研究平台。xsser.me给我的整体感觉还是比较人性化的,稍后会介绍到,总体来说很不错,货真价实,童叟无欺,用了都说好!

亲,你还等什么,赶紧数数手里的wb,订购吧,传送门http://www.wooyun.org/market/3。

以下只是我使用默认模块的教程,自定义模块各位大大自己摸索或者直接咨询@xsser!据说还有很多功能正在完善中。

废话不多说,直接上图。

首先,邀请码注册。

关于xsser.me的使用(图文并茂)

创建新项目

关于xsser.me的使用(图文并茂)

填写描述

关于xsser.me的使用(图文并茂)

勾选默认模块,可以自定义代码,也可以不写

关于xsser.me的使用(图文并茂)

攻击代码的填写里面已经描述的很详细了,也可以自定义,点击完成

关于xsser.me的使用(图文并茂)

然后就可以等待了,在主页你的项目地方可以看到内容数目,至于什么内容,亲,我想你懂的

关于xsser.me的使用(图文并茂)

最后就是登录了,这里xsser.me提供了一个chrome插件,非常人性化,用用更健康

在项目里面有个安装插件

关于xsser.me的使用(图文并茂)

至于怎么安装,我就不废话了,安装成功后是这样的

关于xsser.me的使用(图文并茂)

在地址栏的右边,有个小白帽,就是她了

将你的项目接口地址填到里面,回车,会计算出登录url,点击url,会有惊喜

关于xsser.me的使用(图文并茂)

当然前提是项目有内容,没有的话是计算不出来的。

基本操作就这么多了,更深层次的操作,各位亲自己摸索吧。

顺便吐槽下乌云的编辑器,发现内容多了确实是个麻烦事。

各位亲,看完了有什么感受吗?

如果你感动了,请默默的猛击右上角的感谢。如果碰到诸如不能感谢,感谢功能失效等情况,请pm我,我帮您解决!

  1. 1#

    Sogili (.) 长短短 (.) | 2012-10-15 10:54

    还有xss.js 晚上搞定 – -

  2. 2#

    峙酿君edwardz | 2012-10-15 11:06

    xsser.me啥时候开放啊。。。。。。

  3. 3#

    蟋蟀哥哥 (̷ͣ̑̆ͯ̆̋͋̒ͩ͊̋̇̒ͦ̿̐͞҉̷̻̖͎̦̼) | 2012-10-15 11:45

    @xsser 妹纸,当年你在西湖畔答应的邀请码呢?

  4. 4#

    VIP (Fatal error: Call to undefined function getwb() in /data1/www/htdocs/106/wzone/1/index.php on line 10|@齐迹@小胖子nauscript|昨晚做梦梦见了一个ecshop注射0day,醒来后忘记在哪了。|预留广告位) | 2012-10-15 12:05

    貌似market上线了

  5. 5#

    VIP (Fatal error: Call to undefined function getwb() in /data1/www/htdocs/106/wzone/1/index.php on line 10|@齐迹@小胖子nauscript|昨晚做梦梦见了一个ecshop注射0day,醒来后忘记在哪了。|预留广告位) | 2012-10-15 12:15

    购买了,测试了一下有没有修改价格的漏洞,结果。。你懂的

  6. 6#

    %50 (x了个o) | 2012-10-15 12:38

    求个马子观摩~

  7. 7#

    一刀终情 ((注意看时间,没乱哦!) ‫(1314520)) | 2012-10-15 12:53

    为了这个插件付了钱T_T懒人就是要多花钱

  8. 8#

    whoami (alert\\) | 2012-10-15 12:57

    @xsser  是不是30WB 更合理呢 >.<

  9. 9#

    蟋蟀哥哥 (̷ͣ̑̆ͯ̆̋͋̒ͩ͊̋̇̒ͦ̿̐͞҉̷̻̖͎̦̼) | 2012-10-15 12:57

    @VIP 恭喜你了

  10. 10#

    楼上是马甲 | 2012-10-15 13:12

    不只有有没有别的新奇的功能,上面讲的这些用xssbox自己架设个好了,效果很好的

  11. 11#

    cnrstar (Be My Personal Best!) | 2012-10-15 13:17

    @蟋蟀哥哥 他答应的邀请码还是要买。。桑心啊桑心、还是得刷漏洞@xsser

  12. 12#

    乌帽子 (业精于勤而荒于嬉,行成于思而毁于随。) | 2012-10-15 14:37

    pm:右上角木有感谢啊

  13. 13#

    LeadUrLife | 2012-10-15 18:51

    以上只是基础操作流程说明,求高级功能介绍。。。

  14. 14#

    /fd (Http://prompt.ml) | 2012-10-15 18:53

    那個chrome插件有什麼用的

  15. 15#

    popok (我是你们的大爷)‮(宗祖的们你是我) | 2012-10-16 01:52

    外部引用地址有点长,限制长度的地方,url能省一位是一位

  16. 16#

    w0lfram (穿梭在这个行尸走肉般的城市,我总是有点心肌梗塞。) | 2012-10-16 13:50

    @popok 我那给的那个项目接口地址不是外部引用地址,外部引用的是一个16字符的hash,这个也长莫 ?弄成8字符 ??

  17. 17#

    w0lfram (穿梭在这个行尸走肉般的城市,我总是有点心肌梗塞。) | 2012-10-16 13:51

    @/fd 亲,是我太隐晦了莫

  18. 18#

    一刀终情 ((注意看时间,没乱哦!) ‫(1314520)) | 2012-10-16 17:56

    @w0lfram 外部引用的短地址,比别家的短地址,还是有点长~不知道,这个引用地址还可以用短地址再强奸一下么?

  19. 19#

    w0lfram (穿梭在这个行尸走肉般的城市,我总是有点心肌梗塞。) | 2012-10-16 19:11

    @一刀终情 你是说t.cn url.cn再弄下是莫? 应该不行的,因为xsser.me/hashhashhashhash  里面是直接有js的,转换了后不能通过src属性转换出来吧,不过亲你可以测试下的,我还没碰到长度限制这么苛刻的,最终结果以你的测试为准,不包邮哦

  20. 20#

    popok (我是你们的大爷)‮(宗祖的们你是我) | 2012-10-16 20:37

    @w0lfram 可以用t.cn的,是个302跳转。
    另外貌似外部引用地址貌似6位的,?后面的类似于时间戳的东西貌似可以去掉

  21. 21#

    w0lfram (穿梭在这个行尸走肉般的城市,我总是有点心肌梗塞。) | 2012-10-17 10:39

    @popok 恩  是的,想到过,你可以跟@xsser建议下

  22. 22#

    北洋贱队 | 2012-10-17 11:51

    谁买谁后悔

  23. 23#

    xsser | 2012-10-17 19:07

    @北洋贱队 中么了 你买了么

  24. 24#

    北洋贱队 | 2012-10-18 00:20

    @xsser 亲,太贵,我怕买了不能退货,能7天包退嘛?

  25. 25#

    飘雪柔情 | 2012-10-23 21:18

    @Sogili 求邀请码买不去只有十多个

  26. 26#

    飘雪柔情 | 2012-10-25 08:54

    @w0lfram 求邀请码!

  27. 27#

    神倦懒言 | 2012-11-13 18:55

    关于模块?没看到在哪里?

  28. 28#

    momo | 2012-11-13 19:11

    够详细。

  29. 29#

    鸡鸡 (闷声发大财,这是最好的!) | 2012-11-13 21:56

    楼主头像和我有得一比

  30. 30#

    solihat (xxooooxx) | 2012-11-13 22:33

    @楼上是马甲 求代码

  31. 31#

    gniq | 2013-01-28 16:52

    @楼上是马甲 大哥你那有xssbox的打包程序吗?网上没有找到啊!

  32. 32#

    O.o | 2013-01-28 21:11

    这东西不错啊~~