burpSuite 中xssValidator 的用法

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了burpSuite 中xssValidator 的用法相关的知识,希望对你有一定的参考价值。

burpSuite被越来越多的人知晓,它之中的部分模块可能会用的人并不多。下面介绍的是xssValidator 的用法。

 

安装扩展器

 

如果您有安装扩展程序的经验,可以跳过本节。

 

自动安装

 

技术分享

 

手动安装

 

打开Burp Suite如果尚未打开。导航到扩展选项卡,然后单击添加按钮,如下所示:

 

技术分享

 

确保扩展类型是Java,然后单击选择文件按钮并浏览到xssValidator.jar文件的位置。

 

技术分享

 

点击添加,然后出现一个窗口。通过单击错误选项卡确保没有错误。如果发生错误,可能是.jar文件与您的Java版本不兼容。确保您正在运行Java 7.如果错误仍然与我们联系,让我们来帮助您!

 

添加扩展器后,应该会看到它显示在Burp扩展器面板上,如下所示。

 

技术分享

 

准备攻击

 

为目标请求创建新的Intruder攻击。按照通常的方式定义目标,并导航到“有效载荷”选项卡。选择扩展生成的有效载荷类型,如下所示。

 

技术分享

 

单击选择生成器,然后选择XSS验证器有效负载生成器。

 

技术分享

 

单击有效负载处理下的添加按钮,然后从下拉菜单中选择Invoke Burp Extension。选择XSS验证器处理器,然后单击确定。

 

技术分享

 

定义有效载荷位置,如果还没有。在我们使用的示例中,xsstest.php文件具有XSS易受攻击的GET参数,测试。我们定义为我们的目标参数,如下所示:

 

技术分享

 

在选项选项卡下,浏览到Grep - Match部分,并输入字符串“ fy7sdufsuidfhuisdf”。如果有效载荷成功触发XSS,Burl Extender将返回此字符串。

 

技术分享

 

在启动攻击之前,启动PhantomJS服务器,更改为xss-detector目录并执行“phantomjs xss.js”。执行该命令后,服务器将正在侦听。

 

技术分享

 

切换回Burp Intruder Attack并启动。成功触发XSS攻击的有效载荷将被存在“ fy7sdufsuidfhuisdf ”标志所指出,如下所示。

 

技术分享

 

如果要验证XSS查找,只需右键单击特定的有效载荷,然后选择浏览 - 请求浏览器 - >原始会话。

 

 

参考资料

  https://nvisium.com/blog/2014/01/31/accurate-xss-detection-with-burpsuite/

  https://github.com/nVisium/xssValidator

以上是关于burpSuite 中xssValidator 的用法的主要内容,如果未能解决你的问题,请参考以下文章

burp插件之xssValidator

burpsuite 抓包怎么设置

解决burpsuite中文乱码的问题

Burpsuite 抓包Mark

如何给burpsuite添加插件

BurpSuit之CSRF检测