配置插件xssValidator
使用插件
代理功能(目的是抓取真实的http请求报文)
配置好浏览器代理地址后发起请求,burp会捕获到请求,点击forward
找到对应的请求历史记录,并发送到intruder
配置payloads为xssValidator
配置options的grep – match
对应字符串的出处
修改请求参数,并开始xss扫描
查看单独的结果(有勾选的就是有xss漏洞的)
把对话框出现的url地址copy到浏览器访问,并在显示的地址点击按钮
最后看到xss漏洞的现象
相关文章: