BurpSuite-PhantomJS搭配xssValidator进行自动化xss测试

安装PhantomJS

https://phantomjs.org/download.html

下载Windows版本,目前官网最新版本是2.1.1 - 17.4MB ,下载之后解压,建议单独放在一个目录

然后配置系统环境变量,我这里测试的目录是C:\tools\phantomjs-2.1.1-windows\bin

通过github下载xssValidator

git clone https://github.com/nVisium/xssValidator.git

下载下来有个目录xss-detector里面有个xss.js文件,复制这个目录到单独一个文件夹,然后使用phantomjs去执行xss.js 我执行的位置如下:

C:\tools\xsstest\xss-detector>phantomjs xss.js

上面下载好的xssValidator不用编译成jar再加载到BurpSuite,因为官方已经在商店集成好了,直接去在线安装即可

使用DVWA测试

在开始使用BurpSuite开始测试之前先配置好插件xssValidator 只更改了下面两个位置

Grep Phrase: xss_result

Javascript functions: alert

选好DVWA的反射XSS地址,发送到Intruder,配置Positions为Sniper,配置Payloads的Payload Sets为Extension-generated,这里是先已经安装了xssValidator,然后才能选择,在Options选项配置过滤匹配关键字

Grep Match "xss_result" 这里看个人需求自己写成自己想要字符即可

启动Intruder

如果成功的话,会在启动C:\tools\xsstest\xss-detector>phantomjs xss.js的命令行下面看到很多测试的payload 如果有alert那么表示存在XSS


你可能感兴趣的:(BurpSuite-PhantomJS搭配xssValidator进行自动化xss测试)