站长统计
Brupsuite--PhantomJS搭配xssValidator进⾏⾃动化XSS测试⼀、环境配置
1.1 XSS环境
使⽤DVWA作为测试⽬标
下载地址:GitHub - digininja/DVWA: Damn Vulnerable Web Application (DVWA)
1.2  下载安装Phantomjs
下载地址:Download PhantomJS
选择Windows版
下载完成后,解压到对应⽬录即,到可执⾏⽂件(),添加环境变量。
以win10为例:
之后便可在命令⾏窗⼝执⾏如下命令检查是否添加成功
~~~phantomjs -v ~~~
1.3 Brupsuite 安装 xss Validator插件        在BApp store 查安装即可
如何下载javascript到插件安装⽬录的xss-detector⼦⽬录下有⼀个xss.js的⽂件
插件安装⽬录在插件Details中有显⽰
如没有可从Github上下载复制到安装⽬录
下载地址:GitHub - PortSwigger/xss-validator: This is a burp intruder extender that is designed for automation and validation of XSS vulnerabilities.
执⾏xss.js⽂件
执⾏后有光标闪烁,xss.js⽂件中包含XSS-Detector服务的监听IP、端⼝,默认为127.0.0.1:8093 netstat -ano可查看监听的端⼝
通过 netstat -ano
⼆、插件配置
2.1 调整xssValidator参数
Grep Phrase修改为xxs_result,作为检测标志和列表头。JavaScript functions中我们仅使⽤alert, 其他的都暂时去掉
2.2 配置Intruder
1.在Proxy => HTTP history中选择⼀个需要测试的请求发送到Intruder
2.设置注⼊点

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。