使用Burp、PhantomJS進(jìn)行XSS檢測(cè)

環(huán)境部署
  • 安裝XSS Validator插件
圖片.png

安裝成功如下,基本只需改兩個(gè)字段,其他默認(rèn)即可。

圖片.png

下載對(duì)應(yīng)操作系統(tǒng)版本后,直接解壓即可,為了方便,建議將phantomjs.exe加入到系統(tǒng)環(huán)境變量

圖片.png
圖片.png
使用插件開始xss檢測(cè)
  • 利用phantomjs運(yùn)行xss.js,開始監(jiān)聽
> phantomjs.exe E:\tools\phantomjs\xssValidator-master\xss-detector\xss.js
圖片.png
  • 抓包并使用Intruder,這里用DVWA做測(cè)試,為了檢驗(yàn)效果,記得將等級(jí)調(diào)試為low

首先抓包,發(fā)送至Intruder

圖片.png

然后Intruder配置如下:

圖片.png
圖片.png
圖片.png
圖片.png
圖片.png

注意:xss_result是xss插件中的標(biāo)識(shí)字段,可以自定義。如下:

圖片.png

以上操作完成之后就可以Start attack了,結(jié)果如下,標(biāo)識(shí)字段中打?qū)吹恼f明成功執(zhí)行xss paylaod

圖片.png
圖片.png

同時(shí)監(jiān)聽狀態(tài)下的phantomjs.exe也會(huì)有執(zhí)行成功的標(biāo)志如下:

圖片.png
  以上是拿反射型的xss做了測(cè)試,通過我的測(cè)試,DOM-XSS和存儲(chǔ)型XSS也同樣可以,在此就不貼圖了。
  本文旨在記錄工具使用,關(guān)于xss原理不再此講解,還有工具原理也不再闡述。

詳情可參考:
http://www.mottoin.com/sole/topic/93172.html
https://payloads.online/archivers/2018-10-19/1

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容