burpSuite被越来越多的人知晓,它之中的部分模块可能会用的人并不多。下面介绍的是xssValidator 的用法。
如果您有安装扩展程序的经验,可以跳过本节。
自动安装
手动安装
打开Burp Suite如果尚未打开。导航到扩展选项卡,然后单击添加按钮,如下所示:
确保扩展类型是Java,然后单击选择文件按钮并浏览到xssValidator.jar文件的位置。
点击添加,然后出现一个窗口。通过单击错误选项卡确保没有错误。如果发生错误,可能是.jar文件与您的Java版本不兼容。确保您正在运行Java 7.如果错误仍然与我们联系,让我们来帮助您!
添加扩展器后,应该会看到它显示在Burp扩展器面板上,如下所示。
为目标请求创建新的Intruder攻击。按照通常的方式定义目标,并导航到“有效载荷”选项卡。选择扩展生成的有效载荷类型,如下所示。
单击选择生成器,然后选择XSS验证器有效负载生成器。
单击有效负载处理下的添加按钮,然后从下拉菜单中选择Invoke Burp Extension。选择XSS验证器处理器,然后单击确定。
定义有效载荷位置,如果还没有。在我们使用的示例中,xsstest.php文件具有XSS易受攻击的GET参数,测试。我们定义为我们的目标参数,如下所示:
在选项选项卡下,浏览到Grep - Match部分,并输入字符串“ fy7sdufsuidfhuisdf”。如果有效载荷成功触发XSS,Burl Extender将返回此字符串。
在启动攻击之前,启动PhantomJS服务器,更改为xss-detector目录并执行“phantomjs xss.js”。执行该命令后,服务器将正在侦听。
切换回Burp Intruder Attack并启动。成功触发XSS攻击的有效载荷将被存在“ fy7sdufsuidfhuisdf ”标志所指出,如下所示。
如果要验证XSS查找,只需右键单击特定的有效载荷,然后选择浏览 - 请求浏览器 - >原始会话。
https://nvisium.com/blog/2014/01/31/accurate-xss-detection-with-burpsuite/
https://github.com/nVisium/xssValidator
原文:http://www.cnblogs.com/MiWhite/p/7159757.html