xssValidator
本文記錄一下xss Validator的使用方法
0x00 前言
xss Validator是一個Burp商店的一個高分外掛,該外掛依賴於ofollow,noindex" target="_blank">phantomjs 專案以及Burp的Intruder模組。
0x01 安裝
安裝外掛
開啟Burp,點選“Extender”->“BApp Store”->”XSS Validator”->“install”
安裝phantomjs
下載頁面:http://phantomjs.org/download.html
可根據自己的作業系統型別,選擇對應的版本,我這裡是Mac OSX
然後下載xss.js ,將它放入phantomjs的執行目錄。
0x02 測試之前的步驟
rvn0xsy@Rvn0xsy ~/G/p/bin> pwd /Users/rvn0xsy/GitProject/phantomjs-2.1.1-macosx/bin rvn0xsy@Rvn0xsy ~/G/p/bin> ls phantomjs xss.js rvn0xsy@Rvn0xsy ~/G/p/bin> ./phantomjs xss.js # 啟動監聽
這時回到Burp的xss Validator外掛頁面:
其中:
-
Grep Phrase
是XSS執行成功後,能夠解析出的字串,支援自定義。 -
Javascript function
是驗證函式,會被解析的時候呼叫。 -
Javascript event handlers
是監聽事件。 -
Payloads
是測試XSS的模板,必須包含{JAVASCRIPT}
,否則無法判斷狀態