Burp Suite中文使用教程(桌面版)6.8 Burp Clickbandit
Burp Clickbandit是用于生成點擊劫持攻擊的工具。當發現可能容易受到點擊劫持的網頁時,可以使用Burp Clickbandit發起攻擊,并確認可以成功利用此漏洞。
注意:在不受信任的網站上運行Burp Clickbandit時請多加注意。目標站點中的惡意JavaScript可能會破壞Burp Clickbandit生成的HTML輸出。
運行Burp Clickbandit
Burp Clickbandit使用JavaScript在您的瀏覽器中運行。它適用于除Microsoft IE和Edge之外的所有現代瀏覽器。
要運行Clickbandit,請轉至Burp菜單,然后選擇“ Burp Clickbandit”。然后使用以下步驟:
- 單擊“將Clickbandit復制到剪貼板”按鈕。這會將Clickbandit腳本復制到剪貼板。
- 在瀏覽器中,以通常的方式訪問要測試的網頁。
- 在瀏覽器中,打開Web開發人員控制臺。這也可能稱為“開發人員工具”或“ JavaScript控制臺”。
- 將Clickbandit腳本粘貼到Web開發人員控制臺中,然后按Enter。
Burp Clickbandit標語將出現在瀏覽器窗口的頂部,原始頁面將在一個框架內重新加載,以準備進行攻擊。
記錄方式
Burp Clickbandit首先以記錄模式加載。單擊“開始”以加載網站。執行一次或多次鼠標單擊以記錄您的點擊劫持攻擊。通常,這將涉及執行受害者用戶執行某些所需操作所需的鼠標單擊。
默認情況下,記錄點擊時,目標頁面也會以常規方式處理它們。您可以使用“禁用點擊操作”復選框來記錄點擊,而無需目標頁面進行處理。
您可以點擊“Sandbox iframe”復選框,將Sandbox 屬性添加到iframe。此選項將使您避免幀破壞。
錄制完成后,單擊“完成”按鈕進入查看模式。
查看模式
完成對攻擊的記錄后,Burp Clickbandit進入查看模式。這樣,您可以查看所生成的攻擊,并將攻擊UI覆蓋在原始頁面UI上。您可以單擊攻擊UI上的按鈕以驗證攻擊是否有效。
在查看模式下可以使用以下命令:
- +和-按鈕可用于放大和縮小。
- 使用“切換透明度”按鈕,您可以顯示或隱藏原始頁面UI。
- “重置”按鈕恢復生成的攻擊,就像進行任何進一步單擊之前一樣。
- “保存”按鈕保存包含攻擊的HTML文件。這可以用作clickjacking漏洞的實際利用。
- 如果未正確與原始頁面UI對齊,則可以使用鍵盤上的箭頭鍵重新定位攻擊UI。
