Burpxss自动化测试工具validator配置和使用教程

一、配置教程
下载Phantomjs：
http://phantomjs.org/download.html
下载xss.js
https://github.com/nVisium/xssValidator
将xss.js和phantomjs.exe放在一起
利用phantomjs运行xss.js
C:\xss>phantomjs.exe xss.js
Bapp store里搜索xss validator,然后安装它

安装完后勾选启用它

二、找一个有xss的测试一下

就它了，先开启bp拦截，然后点击submit提交
设置123就行

Payload type选extension-generated

点击select generator,选XSS Validator Payloads

Payload processing点击add，选择invoke burp extension

options的grep-match先清空原先的，然后add123456

xssvalidatot的grep phrase也设置为123456
另外可以根据自己的需要选择javascript functions的类型，我这里选择console.log

以上上XSS测试的准备工作，接下来回到攻击模块开始attack

三、测试

123456下面有写1的就说明存在xss的
可以点击右键选择request in browser

然后在浏览器打开，F12看控制台

可以看到有XSS日志了，说明确实存在xss
如果开启了waf可能测不出来，所以这个工具在使用前先看下网站有没有WAF