burp插件之xssValidator

 0x01 安装环境

Phantomjs

下载:http://phantomjs.org/download.html

下载后配置环境变量,把bin目录下的这个exe加入环境变量

xssValidator下载安装

https://github.com/nVisium/xssValidator
下载xss.js


它是一个基于webkit的JavaScript API。它使用QtWebKit作为它核心浏览器的功能,使用webkit来编译解释执行JavaScript代码。任何你可以在基于webkit浏览器做的事情,它都能做到。它不仅是个隐形的浏览器,提供了诸如CSS选择器、支持Web标准、DOM操作、JSON、HTML5、Canvas、SVG等,同时也提供了处理文件I/O的操作,从而使你可以向操作系统读写文件等。PhantomJS的用处可谓非常广泛,诸如网络监测、网页截屏、无需浏览器的 Web 测试、页面访问自动化等。

在线安装

安装后,cmd下执行

打开监听,接下来设置代理,打我们使用burpsuit抓包截断后,将其发送到intruder模块下,然后将我们的参数add后

接下来点击设置payload为扩展生成器,并且插件哪儿选择xss validator,如图示,

接下来将我们需要匹配的特征字符复制,

接下来再option配置特征字符,当我们批量插入payload后会根据这段字符匹配到成功利用xss的payload

最后点击start attack

其中特征字符处打勾的是成功利用的payload,我们的phantomjs会在命令行显示我们发送请求的包,可以进行查看。

原文地址:https://www.cnblogs.com/-qing-/p/10961343.html