码迷,mamicode.com
首页 > 其他好文 > 详细

burp插件之xssValidator

时间:2019-06-01 23:04:32      阅读:477      评论:0      收藏:0      [点我收藏+]

标签:href   在线安装   配置环境   image   intruder   网页   命令行   span   页面   

 0x01 安装环境

Phantomjs

下载:http://phantomjs.org/download.html

下载后配置环境变量,把bin目录下的这个exe加入环境变量

技术图片

 

xssValidator下载安装

https://github.com/nVisium/xssValidator
下载xss.js


它是一个基于webkit的JavaScript API。它使用QtWebKit作为它核心浏览器的功能,使用webkit来编译解释执行JavaScript代码。任何你可以在基于webkit浏览器做的事情,它都能做到。它不仅是个隐形的浏览器,提供了诸如CSS选择器、支持Web标准、DOM操作、JSON、HTML5、Canvas、SVG等,同时也提供了处理文件I/O的操作,从而使你可以向操作系统读写文件等。PhantomJS的用处可谓非常广泛,诸如网络监测、网页截屏、无需浏览器的 Web 测试、页面访问自动化等。

 

在线安装

技术图片

安装后,cmd下执行

技术图片

 

打开监听,接下来设置代理,打我们使用burpsuit抓包截断后,将其发送到intruder模块下,然后将我们的参数add后

技术图片

接下来点击设置payload为扩展生成器,并且插件哪儿选择xss validator,如图示,

技术图片

 

接下来将我们需要匹配的特征字符复制,

技术图片

 

接下来再option配置特征字符,当我们批量插入payload后会根据这段字符匹配到成功利用xss的payload

技术图片

 

最后点击start attack

技术图片

其中特征字符处打勾的是成功利用的payload,我们的phantomjs会在命令行显示我们发送请求的包,可以进行查看。

技术图片

 

burp插件之xssValidator

标签:href   在线安装   配置环境   image   intruder   网页   命令行   span   页面   

原文地址:https://www.cnblogs.com/-qing-/p/10961343.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!