使用Burp、PhantomJS进行自动化XSS检测

所需环境

1.windos 10

2.phpstudy v8

3.Phantomjs http://phantomjs.org/download.html

4.xss.js https://github.com/nVisium/xssValidator

安装步骤

第一步 虚拟机安装 windos 10(略)

第二步 安装phpstudy v8(略)

第三步 下载并解压Phantomjs与xss.js

（1）Phantomjs下载完成后解压到指定目录。

（2）把xssValidator-1.3.1下载解压后把xss-detector目录里的xss.js文件移动到phantomjs-2.1.1-windows的bin目录下。

（3）xss.js是phantomJS检测xss漏洞的具体实现，进入phantomjs-2.1.1-windows\bin目录打开cmd，利用phantomjs运行xss.js设置监听。

第四步 XSS Validator插件安装

打开burpsuit—>点开Extender—>找到BApp Store，搜索XSS Validator，点击install进行安装即可，之前安装了就显示Reinstall，安装成功会显示打勾。如下图所示：

第五步 使用xss Validator进行自动化测试XSS

使用之前用phpstudy v8搭建的xss-labs靶场进行测试
（1）使用burp suite抓包Ctrl+I把流量发送到lntruder测试模块

（2）配置变量

（3）配置options的grep–match

（4）配置xss Validator插件

（5）选中请求参数点击start attack进行爆破

（6）查看爆破结果
可以看到已经插入了xss语句

（7）查看复现
选中数据右键打开Request in browser—>in original session选择复制去浏览器打开就可以看到复现结果，存在XSS漏洞。

PS:未经授权不要拿任何网站进行测试，遵守法律法规，建议本地搭个靶场来测试。

获取更多网络安全信息：
+Q Q群：863658976
V X公众号: 哈客部落
哈客社区：hake.cc