一、启动BurpSuite,选择Extender--》BApp Store--》XSS Validator,点击Install
二、安装phantomjs
它是一个基于webkit的JavaScript API。它使用QtWebKit作为它核心浏览器的功能,使用webkit来编译解释执行JavaScript代码。任何你可以在基于webkit浏览器做的事情,它都能做到。它不仅是个隐形的浏览器,提供了诸如CSS选择器、支持Web标准、DOM操作、JSON、HTML5、Canvas、SVG等,同时也提供了处理文件I/O的操作,从而使你可以向操作系统读写文件等。PhantomJS的用处可谓非常广泛,诸如网络监测、网页截屏、无需浏览器的 Web 测试、页面访问自动化等。
1、下载地址:
https://phantomjs.org/download.html
2、解压提取PhantomJS
3、下载xss.js
https://github.com/nVisium/xssValidator/tree/master/xss-detector
4、执行监听
export OPENSSL_CONF=/etc/ssl/
./phantomjs xss.js
三、插件使用
1、点击install后,会多一个选项卡,修改下面两个参数
2、抓取可能存在xss漏洞的页面
3、右击发送到Intruder模块
4、设置Intruder模块的payload选项
5、设置Intruder模块的options选项,先清除原来,然后添加上面增加的Grep Phrase
6、开始攻击
7、执行结果,可以用的payload后面都打了对钩
禁止非法,后果自负
