burp插件之xssValidator

Posted -qing-

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了burp插件之xssValidator相关的知识,希望对你有一定的参考价值。

 0x01 安装环境

Phantomjs

下载:http://phantomjs.org/download.html

下载后配置环境变量,把bin目录下的这个exe加入环境变量

技术图片

 

xssValidator下载安装

https://github.com/nVisium/xssValidator
下载xss.js


它是一个基于webkit的javascript API。它使用QtWebKit作为它核心浏览器的功能,使用webkit来编译解释执行JavaScript代码。任何你可以在基于webkit浏览器做的事情,它都能做到。它不仅是个隐形的浏览器,提供了诸如CSS选择器、支持Web标准、DOM操作、JSON、html5、Canvas、SVG等,同时也提供了处理文件I/O的操作,从而使你可以向操作系统读写文件等。PhantomJS的用处可谓非常广泛,诸如网络监测、网页截屏、无需浏览器的 Web 测试、页面访问自动化等。

 

在线安装

技术图片

安装后,cmd下执行

技术图片

 

打开监听,接下来设置代理,打我们使用burpsuit抓包截断后,将其发送到intruder模块下,然后将我们的参数add后

技术图片

接下来点击设置payload为扩展生成器,并且插件哪儿选择xss validator,如图示,

技术图片

 

接下来将我们需要匹配的特征字符复制,

技术图片

 

接下来再option配置特征字符,当我们批量插入payload后会根据这段字符匹配到成功利用xss的payload

技术图片

 

最后点击start attack

技术图片

其中特征字符处打勾的是成功利用的payload,我们的phantomjs会在命令行显示我们发送请求的包,可以进行查看。

技术图片

 

以上是关于burp插件之xssValidator的主要内容,如果未能解决你的问题,请参考以下文章

burp添加插件

Burp Suite插件推荐

burp插件大全 漏洞扫描 waf绕过 sql XSS 命令注入 fuzzer

安卓脱壳&&协议分析&&burp辅助分析插件编写

通过dnslog自动化探测fastjson(burp插件)

BurpSutie拓展插件合集(介绍安装使用方法)