挖SRC的时候经常需要向 input 框或者textarea 框中插入一些payload,但是遇到某个网页需要插入的输入框很多或者payload 很复杂的时候,就需要多次复制粘贴,过程比较繁琐。
例如如下两种情况:
情况1:输入框很多
情况2:payload 很长
例如用于测试CSTI的payload:
<div ng-app ng-csp><textarea autofocus ng-focus="d=$event.view.document;d.location.hash.match('x1') ? '' : d.location='//localhost/mH/'"></textarea></div>针对于这种问题,bit4woo 师傅的knife burpsuite插件可以很方便地向请求报文的请求参数中插入预定义的payload。
但是,针对于一些纯客户端漏洞,比如DOM型XSS这种不需要发送请求报文和服务端交互的漏洞,就不能使用knife插件来偷懒了。
那么能不能设计一款浏览器插件来解决这个问题呢?用户设置好预定义的payload ,然后点击右键菜单,一键插入!
我不知道之前是否有师傅已经做过这种类型的插件,想着需求也比较简单,索性就自己写一个,顺便学学浏览器插件开发的相关知识。
于是便有了: https://github.com/ShangRui-hash/form-inserter 这款firefox 插件
插件的使用方法非常简单:
step1 . 添加你的payload,添加的payload默认会与你的firefox账号同步
添加成功后,payload name 会自动注册为浏览器器的右键菜单项
step2. 打开右键菜单,选择payload name
默认情况下,插件会自动向页面中的所有input框和textarea 框中插入选中的payload。
如果想要只在特定的input框或者textarea框中插入payload的话,只需要选中该输入框,然后点击右键菜单中对应的payload name 即可。
介绍到这里,我说form-inserter是一款真正的浏览器《插件》不过分吧,快来体验一下吧 !
