1、安装XSS Validator插件进行XSS漏洞检测
2、下载phantomjs
3、下载xss.js
4、将xss.js文件放在目录下phantomjs安装包路径下
5、xss.js是phantomJS检测xss漏洞的具体实现,进入phantomjs-2.1.1-macosx\bin目录下,执行xss.js文件
注:若phantomjs-2.1.1-macosx/bin目录没有在你的PATH环境变量中,可能需要使用完整路径来执行xss.js
/Users/muwenping/Security/phantomjs-2.1.1-macosx/bin/xss.js
6、若控制台没有报错,说明安装成功
7、其他的参数我们都采取默认配置,只修改Grep Phrase和JavaScript functions两个参数: Grep Phrase修改为xss_bug,作为检测标志和列表头。 JavaScript functions中我们仅使用alert,便于我们从控制台观察结果。
8、配置完插件之后,我们需要配置Intruder,并指定Grep Phrase的值。
9、Intruder的payload生成器需要设置为xssValidator的
10、开始测试
11、检查控制台是否有日志输出
12、检查intruder attack 界面结果列是否有请求进来
在Intruder的执行界面上,我们可以通过xss_bug来查看payload的检测情况,如果响应报文中存在漏洞标志,那么xss_bug列均会被打√显示出来