BurpSuite XSS Validator插件的安装及使用 – 作者:eisoo021

HW期间,为防范钓鱼,即日起FreeBuf将取消投稿文章的一切外部链接。给您带来的不便,敬请谅解~

XSS Validator是什么?

xssValidator 是一个自动验证 XSS 安全漏洞的工具。此扩展将响应发送到由Phantom.js和/或Slimer.js支持的本地运行的XSS-Detector服务器。xss Validator是一个Burp商店的一个高分插件,该插件依赖于phantomjs 项目以及Burp的Intruder模块。

安装Phantom.js和xss-detector

xss Validator还需要Phantom.js和xss-detector脚本的配合使用来检测XSS漏洞

phantom.js 下载地址:

http://phantomjs.org/download.html

xss-detector 下载地址:

https://github.com/PortSwigger/xss-validator

xssValidator 如何安装?

1. 安装运行环境Phantom.js

MAC下举例: brew cask install phantomjs

其它操作系统安装请参考Phantomjs

下载:http://phantomjs.org/download.html

2. 安装xssValidator:

打开Burp,点击“Extender”->“BApp Store”->”XSS Validator”->“install”
cloudwaf.cc

使用前请启动xss,
cd /usr/xssValidator/xss-detector phantomjs xss.js

图片[2]-BurpSuite  XSS Validator插件的安装及使用 – 作者:eisoo021-安全小百科

Grep Phrase

是XSS执行成功后,能够解析出的字符串,支持自定义。

Javascript function

是验证函数,会被解析的时候调用。

Javascript event handlers

是监听事件。

Payloads

是测试XSS的模板,必须包含

{JAVASCRIPT}

,否则无法判断状

使用举例:

在发起攻击之前,有必要启动XSS-Detector服务器。导航到xss-detector目录并执行以下操作:

$ phantomjs xss.js和
$ slimerjs slimer.js&

默认情况下,服务器将在端口8093上进行侦听。服务器期望通过http-response传递的base64编码页面响应,该响应将通过Burp扩展器传递。

导航到xssValidator选项卡,然后复制Grep Phrase的值。在Burp Intruder grep-match函数中输入该值。与此Grep短语匹配的有效载荷表示XSS有效载荷的成功执行。

例子:

在xss-detector目录中,有一个示例文件夹,可用于测试扩展程序功能。

Basic-xss.php:这是易受XSS攻击的Web应用程序的最基本示例。它演示了合法的javascript功能(例如警报和控制台日志)如何不会触发误报。

Bypass-regex.php:这演示了一个XSS漏洞,当用户尝试通过单遍正则表达式运行输入来过滤输入时,就会发生此漏洞。

Dom-xss.php:一个基本脚本,演示了工具将有效负载注入javascript功能并检测其成功的功能。

图片[3]-BurpSuite  XSS Validator插件的安装及使用 – 作者:eisoo021-安全小百科图片[4]-BurpSuite  XSS Validator插件的安装及使用 – 作者:eisoo021-安全小百科

图片[5]-BurpSuite  XSS Validator插件的安装及使用 – 作者:eisoo021-安全小百科Look!

请仔细阅读《中华人民共和国网络安全法》,《刑法》

禁止用于非法用途,后果自负。

来源:freebuf.com 2021-04-12 10:58:25 by: eisoo021

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论