本文记录一下xss Validator的使用方法

0x00 前言

xss Validator是一个Burp商店的一个高分插件,该插件依赖于phantomjs项目以及Burp的Intruder模块。

0x01 安装

安装插件

打开Burp,点击“Extender”->“BApp Store”->”XSS Validator”->“install”

安装phantomjs

下载页面:http://phantomjs.org/download.html

可根据自己的操作系统类型,选择对应的版本,我这里是Mac OSX

然后下载xss.js,将它放入phantomjs的执行目录。

0x02 测试之前的步骤

rvn0xsy@Rvn0xsy ~/G/p/bin> pwd
/Users/rvn0xsy/GitProject/phantomjs-2.1.1-macosx/bin
rvn0xsy@Rvn0xsy ~/G/p/bin> ls
phantomjs xss.js
rvn0xsy@Rvn0xsy ~/G/p/bin> ./phantomjs xss.js # 启动监听

这时回到Burp的xss Validator插件页面:

其中:

  • Grep Phrase是XSS执行成功后,能够解析出的字符串,支持自定义。
  • Javascript function是验证函数,会被解析的时候调用。
  • Javascript event handlers是监听事件。
  • Payloads是测试XSS的模板,必须包含{JAVASCRIPT},否则无法判断状态

0x03 测试演示