本文记录一下xss Validator的使用方法
0x00 前言
xss Validator是一个Burp商店的一个高分插件,该插件依赖于phantomjs项目以及Burp的Intruder模块。
0x01 安装
安装插件
打开Burp,点击“Extender”->“BApp Store”->”XSS Validator”->“install”
安装phantomjs
下载页面:http://phantomjs.org/download.html
可根据自己的操作系统类型,选择对应的版本,我这里是Mac OSX
然后下载xss.js,将它放入phantomjs的执行目录。
0x02 测试之前的步骤
rvn0xsy@Rvn0xsy ~/G/p/bin> pwd
/Users/rvn0xsy/GitProject/phantomjs-2.1.1-macosx/bin
rvn0xsy@Rvn0xsy ~/G/p/bin> ls
phantomjs xss.js
rvn0xsy@Rvn0xsy ~/G/p/bin> ./phantomjs xss.js # 启动监听
这时回到Burp的xss Validator插件页面:
其中:
Grep Phrase是XSS执行成功后,能够解析出的字符串,支持自定义。Javascript function是验证函数,会被解析的时候调用。Javascript event handlers是监听事件。Payloads是测试XSS的模板,必须包含{JAVASCRIPT},否则无法判断状态