burp suite 使用 xssvalidate 进行自动化xss安全扫描

最新推荐文章于 2024-06-25 09:17:44 发布
最新推荐文章于 2024-06-25 09:17:44 发布
阅读量865 收藏 5
点赞数
文章标签: java git
原文链接:https://my.oschina.net/mmfei/blog/1548541
版权

burp suite 使用 xssvalidate 进行自动化xss安全扫描

下载

https://portswigger.net/burp/releases/download?product=free&version=1.7.27&type=macosx

https://bitbucket.org/ariya/phantomjs/downloads/phantomjs-2.1.1-macosx.zip

git clone https://github.com/nVisium/xssValidator
 cd xssValidator;
 mkdir ./burp-extender/lib
 cd burp-extender/lib 
 wget http://central.maven.org/maven2/commons-codec/commons-codec/1.6/commons-codec-1.6.jar
 wget http://central.maven.org/maven2/commons-logging/commons-logging/1.1.3/commons-logging-1.1.3.jar
 wget http://central.maven.org/maven2/org/apache/httpcomponents/fluent-hc/4.3.6/fluent-hc-4.3.6.jar
 wget http://central.maven.org/maven2/org/apache/httpcomponents/httpclient/4.3.6/httpclient-4.3.6.jar
 wget http://central.maven.org/maven2/org/apache/httpcomponents/httpclient-cache/4.3.6/httpclient-cache-4.3.6.jar
 wget http://central.maven.org/maven2/org/apache/httpcomponents/httpcore/4.3.3/httpcore-4.3.3.jar
 wget http://central.maven.org/maven2/org/apache/httpcomponents/httpmime/4.3.6/httpmime-4.3.6.jar
 cd ../../burp-extender/bin/burp
 ant;
 ls bin/burp/xssValidator.jar;

启动xss服务(这个必须有)

cd /path/to/xssValidator/xss-detector;
phantomjs xss.js;

配置插件xssValidator

image_1bpb9uuess3713ehd5q1ang8d172.png-138.6kB

使用插件

代理功能(目的是抓取真实的http请求报文)

image_1bpb8n60024oueo1csr1c0vm5q2j.png-232kB

配置好浏览器代理地址后发起请求,burp会捕获到请求,点击forward

image_1bpb8q3271gmptv34cj1o151e9930.png-159.3kB

找到对应的请求历史记录,并发送到intruder

image_1bpb8tfd51mcudj71hh0dp41j83d.png-310.8kB

配置payloads为xssValidator

image_1bpb92n2c1ct91jue5iv1jvu1maa3q.png-213.3kB

配置options的grep - match

image_1bpb963drtho9qd4csgunet747.png-122.5kB

对应字符串的出处

image_1bpb8ikrd1coie1e1q87o73egk16.png-242.1kB

修改请求参数,并开始xss扫描

image_1bpb9apf3jm93ti1018ivf7fk51.png-178.9kB

查看单独的结果(有勾选的就是有xss漏洞的)

image_1bpb9epcjvhn1d6f1d0oqjs1mmj5e.png-217.8kB

把对话框出现的url地址copy到浏览器访问,并在显示的地址点击按钮

image_1bpb9ip6s1t7j47u1489ot1fdk5r.png-101.3kBimage_1bpb9lj5c3apc6ek1g18gchd56l.png-37.9kB

最后看到xss漏洞的现象

image_1bpb9k49e1551hcf9im40nfje68.png-133.3kB

转载于:https://my.oschina.net/mmfei/blog/1548541

chibang4236
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用burpsuite进行自动化测试XSS漏洞的两种方法
Cwillchris的博客
07-08 1621
一、使用 burpsuite 进行自动化测试 XSS 漏洞我们使用之前搭建的DVWA靶机进行实验进入centos靶机,启动 apache 服务└─# systemctl start apache2进入kali拷贝 payload 字典到 root 目录下,字典可以使用 Kali 中自带的,也可以使用网上找的└─# cp /usr/share/wordlists/wfuzz/Injections/XSS.txt /root在火狐中访问: 192.168.98.66/DVWA-master/vulnerabil
Burpsuite部署xss validator实现自动化扫描
afei001
07-17 885
目录 1.在Burp的BApp Store中Install XSS Validator 2.安装依赖Phantomjs和xss.js 3.xss validator实现自动化扫描 (1)拦截请求并将页面发送到intruder (2)设置Payload(XSS Validator Payload) (3)设置攻击测试参数 (4)使用Payload进行攻击测试 1.在Burp的BApp Store中Install XSS Validator XSS Validator是一个...
burp suite 使用 xssvalidate
thatqier
04-11 1856
配置插件xssValidator使用插件代理功能(目的是抓取真实的http请求报文)配置好浏览器代理地址后发起请求,burp会捕获到请求,点击forward找到对应的请求历史记录,并发送到intruder配置payloads为xssValidator配置options的grep – match对应字符串的出处修改请求参数,并开始xss扫描查看单独的结果(有勾选的就是有xss漏洞的)把对话框出现的u...
使用burpsuite自动化测试XSS漏洞:提升Web应用安全
weixin_43822401的博客
06-05 654
在数字化时代,Web应用的安全至关重要。跨站脚本攻击(XSS)是常见的Web安全威胁之一。burpsuite作为一款强大的渗透测试工具,可以帮助安全专家和开发人员自动化地发现和修复XSS漏洞。本文将详细介绍如何使用burpsuite进行XSS漏洞自动化测试
Burp自动化测试xss漏洞(phantomjs浏览器)
最新发布
m0_65764670的博客
06-25 365
优点:使用burp自动测试xss漏洞速度会比自己手动快速缺点:会产生大量访问请求,如果是存储类型会污染网站如何避免:摸清网站的规则,自己写规则,在本地批量测试批量测试可以使用bp,验证使用phantomjs浏览器(成功会对其进行标记但在bp中需要安装插件),工具测试完成需要复测(弄完之后需要关闭插件否则会很慢)代理地址(浏览器没改就不改这是默认)和字符(可以改也可以默认)payload括号里大写部分是要执行的代码(可自行添加)
自动化检测XSS漏洞插件
10-15
自动化检测XSS漏洞插件,希望对大家使用有帮助,一起进步,一起分享
BurpSuit之XSS检测
无远弗届
03-10 5928
跨站脚本攻击(Cross Site Scripting)是一种将恶意Javascript代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。今天主要详细讲述如利用Burp+PhantomJS进行XSS检测。 环境准备 BP插件安装 在burpsuit的Extender模板下,找到BApp Store,搜索XSS Validator,进行安装即可。如下图所示: phantomjs安装...
headless-burp:使用Burp Suite自动化安全测试
05-17
提供一套扩展程序和一个maven插件,以使用自动执行安全测试。 有关该项目的完整文档,请访问 无头打p(扫描仪)现已发布到 方案D:扫描的内容不仅限于GET请求。 使用从运行的功能测试获得的数据作为扫描的输入 tl...
Burpsuite-UAScan:burpsuite插件:被动进行未授权访问扫描
05-23
Burpsuite插件:被动方式进行未授权访问漏洞(越权)的扫描 被动扫描经过Burpsuite的每一个请求 通过修改Cookie头重新访问判断是否存在未授权访问(越权)问题 如果扫描到未授权访问的URL会显示到空白区域中 采用...
如何在Linux上安装卸载BurpSuite使用浏览器进行配置
05-17
burpsuite安装详细教程 在任何 Linux 系统上立即轻松地安装和卸载 Burp SuiteBurp Suite 是最好、最受欢迎、世界上使用最广泛的渗透测试工具之一,也称为 Web 漏洞扫描程序,可帮助您查找 Web 应用程序上的漏洞。...
Python-一个基于burp的反射型xss检测插件
08-10
一个基于burp的反射型xss检测插件
轻量级网站漏洞批量扫描神器
05-07
批量扫描漏洞扫描url,非常实力。用过的人都说好。设计简明。
AutoRepeater:使用Burp Suite重复执行自动HTTP请求
02-06
AutoRepeater:使用Burp Suite重复执行自动HTTP请求 tl; dr 在扩展器中导入AutoRepeater.jar 一些简要说明 AutoRepeater将仅重新发送由已定义的替换更改的请求。 当AutoRepeater收到与为给定选项卡设置的条件相匹配...
BurpSuite使用介绍(一)
02-21
BurpSuite是用于攻击web应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大...
burpsuite插件xssValidator的安装及使用XSS自动扫描工具)
qq_50854662的博客
06-08 2371
burpsuit的Extender模板下,找到BApp Store,搜索XSS Validator,进行安装即可。xss.js是phantomJS检测xss漏洞的具体实现。下载完成后,将xss.js放在phantomjs同一个文件夹下。下载后配置环境变量,把bin目录下的这个exe加入环境变量。利用phantomjs运行xss.js。就可以看到XSS了!
6.Burp Suite 入门篇 —— Burp Scanner 漏洞扫描
YouTheFreedom的博客
04-12 2783
Burp Scanner 既可以是独立的全自动扫描器,也可以在手动测试中当作强大的辅助手段,而且随着技术改进,Burp Scanner 能检测到的漏洞数量也在不断增加。Burp Scanner 功能只在 burpsuite 专业版和企业版中里有,本篇教程讲的是专业版的 Burp Scanner 用法。
BurpSuite测试上传文件xss漏洞教程
张小凡
02-07 1157
本文将演示如何利用BurpSuite来构造文件上传引起的xss漏洞
XSS漏洞总结 附带burp xss检测插件使用
weixin_52206305的博客
03-11 1677
注意:JavaScript加载外部的代码文件可以是任意扩展名(无扩展名也可以),如:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值