burp插件之xssValidator
Posted -qing-
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了burp插件之xssValidator相关的知识,希望对你有一定的参考价值。
0x01 安装环境
Phantomjs
下载:http://phantomjs.org/download.html
下载后配置环境变量,把bin目录下的这个exe加入环境变量
xssValidator下载安装
https://github.com/nVisium/xssValidator
下载xss.js
它是一个基于webkit的javascript API。它使用QtWebKit作为它核心浏览器的功能,使用webkit来编译解释执行JavaScript代码。任何你可以在基于webkit浏览器做的事情,它都能做到。它不仅是个隐形的浏览器,提供了诸如CSS选择器、支持Web标准、DOM操作、JSON、html5、Canvas、SVG等,同时也提供了处理文件I/O的操作,从而使你可以向操作系统读写文件等。PhantomJS的用处可谓非常广泛,诸如网络监测、网页截屏、无需浏览器的 Web 测试、页面访问自动化等。
在线安装
安装后,cmd下执行
打开监听,接下来设置代理,打我们使用burpsuit抓包截断后,将其发送到intruder模块下,然后将我们的参数add后
接下来点击设置payload为扩展生成器,并且插件哪儿选择xss validator,如图示,
接下来将我们需要匹配的特征字符复制,
接下来再option配置特征字符,当我们批量插入payload后会根据这段字符匹配到成功利用xss的payload
最后点击start attack
其中特征字符处打勾的是成功利用的payload,我们的phantomjs会在命令行显示我们发送请求的包,可以进行查看。
以上是关于burp插件之xssValidator的主要内容,如果未能解决你的问题,请参考以下文章