[工具] BurpSuite--XssValidator插件
0x00 安装
所需软件:
1、burpsuite
2、xssvalidator
源码:https://github.com/nVisium/xssValidator(按照编译指导编译)
burpsuite_BApp:https://portswigger.net/bappstore/bapps/download/98275a25394a417c9480f58740c1d981
3、phantomjs(用于执行xssvalidator插件中的xss.js,这个是必须的,不启动xssvalidator插件将无法探知xss是否存在,应该就是提供js的执行环境的)
下面开始进行安装操作,这里就不介绍编译插件了,直接安装BApp文件
Extender选择BApp Store选项下,选择Manual install后,选择下载好的BApp文件即可安装插件,安装后如下
0x01 使用
使用前必须启动xss服务
cd /xssValidator/xss-detector
phantomjs xss.js
xssValidator主要是通过instruder的功能进行扫描的,故只要将目标请求发送到instruder,
我们直接开始xssvalidator的配置,instruder的配置请参考“[工具]Burpsuite-instruder功能”
配置payloads为xssvalidator
配置Options的grep - match
Grep - match对应的字符串的出处
注:上面Grep Phrase的字符串可以修改为自己喜欢的
到这里就配置完成了,可以启动instruder进行扫描了
查看扫描结果
勾选的这些就是存在XSS漏洞的请求
验证XSS漏洞
选择in original seesion
将url地址copy到浏览器中访问,就可以复现xss漏洞
有时可能会出现这个页面,点击Repeat request即可
最新文章
- ASP.NET MVC5+EF6+EasyUI 后台管理系统(30)-本地化(多语言)
- Android 手势操作识别
- Spring3.0 与 MyBatis框架 整合小实例
- nios II--实验6——串口硬件部分
- [已解决] 点击 【Show in system explorer】Eclipse卡死,未响应
- 深入理解 KVC\KVO 实现机制 — KVC
- font-size单位换算
- NeHe OpenGL教程 第二十八课:贝塞尔曲面
- VMware下安装的Mac OS X如何修改显示分辨率
- 微软职位内部推荐-Sr SDE
- js 遍历json对象
- Qt Quick分组属性案例
- 04737_C++程序设计_第6章_继承和派生
- .net 弹窗方式
- Object.keys、Object.getOwnPropertyNames区别
- docker同时删除多个容器
- [转]如何在Angular4中引入jquery
- mysql分页存储过程一步一步实现
- 同步调用异步方法how-would-i-run-an-async-taskt-method-synchronously
- CentOS下安装配置NFS并通过Java进行文件上传下载