声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。

众亦信安，中意你啊！

温馨提示：当前公众号推送机制调整，仅常读及星标账号可展示大图推送。建议各位将众亦信安团队设为“星标“，以便及时接收我们的最新内容与技术分享。

Burp Passive XSS Detector

一个用于 Burp Suite 的 XSS 辅助插件：在不影响正常抓包体验的前提下，对流量做被动分析 + 轻量验证；只有在“可执行反射”成立时才提示 XSS成功，并提供参数 fuzz、Header fuzz、右键选中内容 fuzz、去重与防自循环等能力。

1.Features

被动参数 fuzz（GET/POST）

o自动对请求参数注入 payload 发包验证

o支持“暴力 fuzz”模式：对所有参数名进行 fuzz

o对请求包中每个参数进行fuzz

o支持json请求

Header fuzz（可选）

o勾选后自动对 User-Agent / Referer / Cookie 执行 fuzz

右键选中内容 fuzz（全局）

o在 Burp 的任意请求编辑/查看区域选中一段内容 →右键发送到 fuzz

o对“选中的字节范围”直接替换注入，不要求必须是参数值

o 这里对user-agent进行替换

XSS 成功判定更严格

o不再以“出现反射”就算成功，而是以更像“可执行反射”（标签/事件/JS URL/脚本上下文）为准，降低误报

命中停止（hit-stop）

o同一个目标点一旦触发成功，停止继续尝试其它 payload，减少发包量

黑名单设置

o设置相关黑名单，避免误报

防自循环与去重

o给插件自身发出的请求加标记头，避免自己的 fuzz 请求再次触发 fuzz

o同一路径下按“参数名集合”去重：避免 aaa=1、aaa=2反复 fuzz

o 按 path / path+query 去重：降低噪音

性能优化

o线程池队列满时丢弃新任务，避免卡顿

o线程池空闲后自动退出，减少内存占用

o关键后台线程设为 daemon，任务结束不残留

2.目录结构

src/main/java/burp/BurpExtender.java核心实现src/main/resources/easyXssPayload.txtpayload 词库lib/Burp Extender API jar（编译依赖）target/burp-passive-xss.jar构建产物（编译后生成）

3.Load into Burp

1.Burp →Extender→Extensions→Add

2.Extension type 选择 Java

3.选择构建出的 target/burp-passive-xss.jar

4.加载后会出现新 Tab：Passive XSS

4.使用说明

1）自动参数 fuzz（GET/POST）

插件启用后，会对符合条件的响应进行候选判断，然后对参数注入 payload 发包验证。

若发现 XSS成功，会在表格中新增一条记录，并可查看对应 Request/Response。

2）Header fuzz（自动）

·在设置栏勾选 Header fuzz

·插件会在自动 fuzz 阶段同时对以下 Header 进行 fuzz：

User-AgentRefererCookie（优先替换 user=，否则追加 user=<payload>

3）右键选中内容 fuzz（全局）

在 Burp 的请求区域（如 Proxy/Repeater/Intruder 的 request editor/viewer、history 等）选中一段内容

右键 →Send selection to XSS fuzz

插件会对“选中范围”执行替换注入并发包验证

说明：如果选区来自响应区域，无法定位回请求字节范围时，插件会退回到“匹配参数值后 fuzz”的模式。

5.配置项说明

Passive fuzz：总开关Threads / Queue：并发与队列（队列满会丢弃新任务，避免卡顿）Passive max/param：单参数最多尝试 payload 数Txt payload limit (0=all)：txt 词库使用条数（0 = 全部）Active max/point：主动扫描插入点最大尝试数（若你在 Burp 主动扫描中启用）Brute fuzz：对所有参数名进行 fuzz（更强更吵）Header fuzz：对 UA/Referer/Cookie 自动 fuzzClear hit-stop：清空命中停止集合（允许目标再次尝试）Clear selected / Clear history：清理 UI 记录（异步执行）

6.Payload 词库（easyXssPayload.txt）easyXssPayload.txt 支持自定义扩展

插件会优先尝试内置 payload，再尝试 txt 词库

部分payload 会进行必要的编码处理（例如用于 URL 场景时）

7.XSS 成功判定策略

本插件只在响应中观察到更像“可执行”的反射时才判定 XSS成功，例如：

标签注入（<script / <svg / <img / <iframe 等）

事件属性（onload= / onclick= / onerror= 等）且处于标签/属性上下文

javascript: 出现在 href/src/action/… 等上下文

<script> 脚本上下文中出现可执行特征（如 alert( / eval( 等）

8.性能与稳定性说明

线程池：

o预启动核心线程减少首次卡顿

o队列满时丢弃新任务避免阻塞

o空闲后核心线程自动退出，减少长期内存占用

一次性后台任务线程均为 daemon，任务完成后不残留

已知限制

“是否真正弹窗执行”无法在 Burp 侧直接运行浏览器 JS，因此成功判定基于“可执行反射”启发式规则，仍可能存在少量误判/漏判。

选中内容fuzz 在响应选区时无法做字节级替换注入，会退化为参数匹配模式。

关注公众号发送20260128获取下载链接

tips：

圈子专注于渗透测试、漏洞挖掘、免杀对抗、逆向分析四大核心方向，同时提供各类实战工具、0day 情报与长期更新的技术资源。目前已更新包括 suo5 二开（含流量修改及客户端工具）、哥斯拉特战版二开（持续维护）、以及 0day 披露等内容。

未来还将陆续上线自研 webshell 管理工具、CS 远控定制版本、内网漏洞批量检测工具（fscan 二开 web 界面）、src 与 edu 高赏金积分报告（脱敏）、以及历年 hw 实战案例复盘等深度内容，致力于打造一个真正能提升技术、辅助实战的高质量交流圈。

目前定价 129 / 年，前 30 名入圈师傅可享 85 折优惠，欢迎各位热爱技术的师傅加入，一起交流、一起进步。