【Burp系列】Burp插件xssValidator的安装及使用

这篇具有很好参考价值的文章主要介绍了【Burp系列】Burp插件xssValidator的安装及使用。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

1. 前置环境

1.1 下载Phantomjs

下载地址:http://phantomjs.org/download.html

下载后配置环境变量,把bin目录下的这个exe加入环境变量.如图:

【Burp系列】Burp插件xssValidator的安装及使用

1.2 xss.js下载和配置

xss.js是phantomJS检测xss 漏洞payload的具体实现。下载地址为:https://github.com/nVisium/xssValidator
下载完成后,将xss.js放在phantomjs同一个文件夹下。需要从xssValidator\xss-detector文件夹中取出来。

【Burp系列】Burp插件xssValidator的安装及使用

使用phantomjs运行xss.js 。执行后,确实是没有任何返回。

【Burp系列】Burp插件xssValidator的安装及使用

1.3 XSS Validator插件安装

在burpsuit的Extender模板下,找到BApp Store,搜索XSS Validator,进行安装即可。如下图所示:

【Burp系列】Burp插件xssValidator的安装及使用

2. xss Validator的使用

2.1 使用burpsuite抓包并send intuder

【Burp系列】Burp插件xssValidator的安装及使用

先点击clear ,后选中要测试的参数add

2.2 配置intuder和xss插件联通

2.2.1 配置payload

【Burp系列】Burp插件xssValidator的安装及使用

2.2.2 配置options

【Burp系列】Burp插件xssValidator的安装及使用

2.3 配置xss Validator 插件参数

【Burp系列】Burp插件xssValidator的安装及使用

JavaScript functions中我们可以使用console 之类的标识

2.4 执行测试

最后,我们回到intruder中点击attack文章来源地址https://www.toymoban.com/news/detail-760737.html

到了这里,关于【Burp系列】Burp插件xssValidator的安装及使用的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 浏览器安装证书,使用burp抓取任意https协议的流量

    抓包显示都是http的。 接受风险后: 给burp加证书: 点击后会让你下载,证书已下载 证书长这个样子~~~  浏览器设置中直接搜索证书: 勾选信任:  会到之前加载不出的页面刷新就可以看到加载出来图片等:   此时看到的都是https.

    2024年01月25日
    浏览(54)
  • 安全开发--10--Python开发Burp插件流程

    本博客地址:https://security.blog.csdn.net/article/details/127351889 Burp支持Java、Python、Ruby编写插件,其中使用Python编写的话分很多种,常见的比如Jython、Cython等等。Jython为我们提供了Python的库,同时也提供了所有java的类。Cython则是提供了Python的库,也提供了C语言的一些特性。 其中

    2024年02月14日
    浏览(35)
  • Burp Unexpected_information插件二次开发教程

    Unexpected_information是一款开源的Burp插件, 该插件的主要场景是用来辅助渗透测试工作,它可以自动的 标记出 请求包中的一些敏感信息、JS接口和一些特殊字段,防止我们在测试中疏忽了一些数据包,能发现平时渗透测试中忽略掉的一细节信息。 Unexpected_information的功能主要有两

    2024年02月09日
    浏览(41)
  • Jmeter系列-插件安装(5)

    jmeter4.0以上,如现在最新的5.2.1版本是有集成插件的 只需要在官网下载 plugins-manager.jar 包,放在jmeter安装路径的lib/ext目录下即可使用:https://jmeter-plugins.org/install/Install/ 但并不能满足所有需求,仍然需要安装其他插件 https://jmeter-plugins.org/stats/:可以查看目前最流行的插件 S

    2024年02月07日
    浏览(42)
  • SQL注入 - sqlmap联动burpsuite之burp4sqlmap++插件

    目录 sqlmap和burpsuite介绍 sqlmap4burp++介绍 sqlmap4burp++的使用 小插曲:sqlmap报错文件不存在怎么办? SqlMap sqlmap 是一款自动化检测与利用SQL注入漏洞的免费开源工具。 可用于检测利用五种不同类型的SQL注入: 布尔型盲注(Boolean-based blind)即可以根据返回页面判断条件真假的注入

    2024年03月12日
    浏览(59)
  • Vue初识别--环境搭建--前置配置过程

    问题一: 在浏览器上的扩展程序上添加了vue-devtools后不生效: 解决方式:打开刚加入的扩展工具Vue.js devtools的允许访问文件地址设置 问题二:Vue新建一个项目 创建一个空文件夹hrsone,然后在VSCode中打开这个空文件夹   打开端口新建终端:按顺序输入以下命令 1、全局安装

    2024年02月11日
    浏览(60)
  • Elasticsearch安装分词插件[ES系列] - 第499篇

    历史文章( 文章 累计490+) 《 国内最全的Spring Boot系列之一 》 《 国内最全的Spring Boot系列之二 》 《 国内最全的Spring Boot系列之三 》 《 国内最全的Spring Boot系列之四 》 《 国内最全的Spring Boot系列之 五 》 《 国内最全的Spring Boot系列之六 》 ElasticSearch应用场景以及技术

    2024年02月02日
    浏览(42)
  • IDEA社区版环境配置和插件安装

    1.1 下载openjdk环境安装包 可以进华为镜像站进行下载。参考链接: Index of openjdk-local https://repo.huaweicloud.com/openjdk/ 1.2 配置Java环境 解压缩openjdk到任意路径,建议路径不要有中文。然后把路径的bin文件,配置到系统的环境变量Path里面去。 把解压缩的open jdk的bin目录,添加到【

    2024年02月05日
    浏览(44)
  • mac 苹果系统安装pygame环境插件

    安装homebrew并更新到最新 安装pip并更新到最新 在terminal中输入: 下载完X-code的命令行工具,再输入: 安装Pygame所依赖的库: 如果你还想启用较高级的功能,如在游戏中包含声音,可安装下面两个额外的库: 最后输入: 如果是python3,则输入: 完成上述步骤以后: 输入: 运

    2024年02月13日
    浏览(34)
  • 【spring源码系列-04】注解方式启动spring时refresh的前置工作

    Spring源码系列整体栏目 内容 链接地址 【一】spring源码整体概述 https://blog.csdn.net/zhenghuishengq/article/details/130940885 【二】通过refresh方法剖析IOC的整体流程 https://blog.csdn.net/zhenghuishengq/article/details/131003428 【三】xml配置文件启动spring时refresh的前置工作 https://blog.csdn.net/zhenghuishen

    2024年02月08日
    浏览(38)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包