【Burp系列】Burp插件xssValidator的安装及使用
1. 前置环境1.1 下载Phantomjs
下载地址:http://phantomjs.org/download.html
下载后配置环境变量,把bin目录下的这个exe加入环境变量.如图:
https://img2023.cnblogs.com/blog/900461/202312/900461-20231227184153276-1595576595.png
1.2 xss.js下载和配置
xss.js是phantomJS检测xss 漏洞payload的具体实现。下载地址为:https://github.com/nVisium/xssValidator
下载完成后,将xss.js放在phantomjs同一个文件夹下。需要从xssValidator\xss-detector文件夹中取出来。
https://img2023.cnblogs.com/blog/900461/202312/900461-20231227184213810-1781566492.png
使用phantomjs运行xss.js 。执行后,确实是没有任何返回。
https://img2023.cnblogs.com/blog/900461/202312/900461-20231227184228277-885473000.png
1.3 XSS Validator插件安装
在burpsuit的Extender模板下,找到BApp Store,搜索XSS Validator,进行安装即可。如下图所示:
https://img2023.cnblogs.com/blog/900461/202312/900461-20231227184245552-1471799128.png
2. xss Validator的使用
2.1 使用burpsuite抓包并send intuder
https://img2023.cnblogs.com/blog/900461/202312/900461-20231227184256404-1466174910.png
先点击clear ,后选中要测试的参数add
2.2 配置intuder和xss插件联通
2.2.1 配置payload
https://img2023.cnblogs.com/blog/900461/202312/900461-20231227184307480-226122730.png
2.2.2 配置options
https://img2023.cnblogs.com/blog/900461/202312/900461-20231227184319139-313370863.png
2.3 配置xss Validator 插件参数
https://img2023.cnblogs.com/blog/900461/202312/900461-20231227184333480-1724289251.png
JavaScript functions中我们可以使用console 之类的标识
2.4 执行测试
最后,我们回到intruder中点击attack
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]