安装PhantomJS
https://phantomjs.org/download.html
下载Windows版本,目前官网最新版本是2.1.1 - 17.4MB ,下载之后解压,建议单独放在一个目录
然后配置系统环境变量,我这里测试的目录是C:\tools\phantomjs-2.1.1-windows\bin
通过github下载xssValidator
git clone https://github.com/nVisium/xssValidator.git
下载下来有个目录xss-detector里面有个xss.js文件,复制这个目录到单独一个文件夹,然后使用phantomjs去执行xss.js 我执行的位置如下:
C:\tools\xsstest\xss-detector>phantomjs xss.js
上面下载好的xssValidator不用编译成jar再加载到BurpSuite,因为官方已经在商店集成好了,直接去在线安装即可
使用DVWA测试
在开始使用BurpSuite开始测试之前先配置好插件xssValidator 只更改了下面两个位置
Grep Phrase: xss_result
Javascript functions: alert
选好DVWA的反射XSS地址,发送到Intruder,配置Positions为Sniper,配置Payloads的Payload Sets为Extension-generated,这里是先已经安装了xssValidator,然后才能选择,在Options选项配置过滤匹配关键字
Grep Match "xss_result" 这里看个人需求自己写成自己想要字符即可
启动Intruder
如果成功的话,会在启动C:\tools\xsstest\xss-detector>phantomjs xss.js的命令行下面看到很多测试的payload 如果有alert那么表示存在XSS
网友评论