编码行者的博客

https://portswigger.net/burp/releases我这里下载专业版、mac你们根据情况自行选择下载：githubhttps://github.com/TrojanAZhen/BurpSuitePro-2.1从github下载jar包后把文件替换到应用的这个位置，如上图然后 vmoptions.txt 追加如下内容：-Dfile.encoding=utf-8-noverify-javaagent:burp-loader-x-Ai.jar -Xmx2048m

任何安装方式都需要从服务器下载CVE，而整个过程过程快慢完全看运气，一定要看到下载完毕成功的提示。要不然扫描出来的报告会有差异。重点：下载出现连接不上是正常现象，完全看服务器情况，一般是早上，或下午一点左右。我当时反正是这样的，要有耐心。github:https://github.com/jeremylong/DependencyCheck普通安装：https://jeremylong.github.io/DependencyCheck/dependency-check-cli/maven 安装：h

在用java进行web业务开发的时候，对于页面上接收到的参数，除了极少数是步可预知的内容外，大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞，都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一，加上在编写代码的过程中安全意识的差异，可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能出现引起Xss和SQL注入漏洞的业务场景下，因此可以使用一个适用大多数业务场景的通用处理方法，牺牲少量用户体验，