专业的社区
Burp ClickBandit.
最近更新时间:4月6日,2022年
阅读时间:2分钟
Burp ClickBandit是一种生成ClickJacking攻击的工具。当您找到一个可能很容易ClickJackinbeplay体育能用吗g的网页时,您可以使用Burp ClickBandit来创建攻击,并确认可以成功利用该漏洞。
本文档涵盖以下领域:
笔记
在不受信任的网站上运行Burp ClickBandit时谨慎行事。beplay体育能用吗来自目标站点的恶意JavaScript可以颠覆由Burp ClickBandit生成的HTML输出。
运行Burp ClickBandit.
Burp ClickBandit使用JavaScript在浏览器中运行。除了Microsoft IE和Edge之外,它还适用于所有现代浏览器。
要运行ClickBandit,请转到Burp菜单并选择Burp ClickBandit.。然后使用以下步骤:
- 点击将ClickBandit复制到剪贴板按钮。这将将ClickBandit脚本复制到剪贴板。
- 在您的浏览器中,请访问您想要以通常的方式测试的网页。beplay体育能用吗
- 在您的浏览器中,打开Web开发人员控制台。beplay体育能用吗这也可能被称为开发者工具要么JavaScript控制台。
- 将ClickBandit脚本粘贴到Web开发人员控制台中,然后按Enter键beplay体育能用吗。
Burp ClickBandit横幅将出现在浏览器窗口的顶部,原始页面将在帧内重新加载,准备执行攻击。
录制模式
Burp ClickBandit在记录模式下首先加载。点击开始加载网站。执行一个或多个鼠标点击以记录您的ClickJacking攻击。通常,这将涉及执行受害者用户需要执行以执行一些所需动作的鼠标点击。
默认情况下,录制Clicks后,它们也被目标页面以正常方式处理。你可以使用禁用单击操作复选框可在没有处理它们的目标页面录制点击。
你可以点击沙盒iframe.复选框将Sandbox属性添加到IFRAME。此选项将允许您避免帧破坏者。
完成录制后,单击结束按钮输入审核模式。
审查模式
完成录制攻击时,Burp ClickBandit进入审核模式。这使您可以查看生成的攻击,攻击UI覆盖在原始页面UI上。您可以单击攻击UI上的按钮以验证攻击是否有效。
以下命令可在审核模式下提供:
- +和 - 按钮可用于放大和缩小。
- 这切换透明度按钮允许您显示或隐藏原始页面UI。
- 这重置按钮恢复生成的攻击,因为它是在进行任何进一步的点击之前。
- 这保存按钮保存包含攻击的HTML文件。这可以用作ClickJacking漏洞的真实利用。
- 如果未正确对齐原始页面UI,则可以使用键盘箭头键重新定位攻击UI。