夜雨聆风
XSS自动化检测插件 — XSS_Scanner
===================================
0x01 工具介绍
XSS_Scanner 是 Burp Suite 的 XSS 自动化检测插件,支持反射 / DOM 型 XSS 扫描,集成 Payload注入校验与 AI 判定,高效发现 XSS 漏洞。
0x02 安装与使用
1.将 XSS_Scanner.jar手动导入 burp extensions
-
自定义payload(添加配置自定义payload) -
对自定义payload进行URL编码 -
加载/重新加载payload
2.启用payload注入检测(Python服务器)
-
启用payload注入检测(Python服务器)
-
进入XSS_Scanner/XSS_Scanner_AI文件夹 执行
python XSS_Scanner_AI.py
-
-
点击”测试连接”
3.测试网站抓包发送到XSS_Scanner插件
https://xssjs.com/yx/level1.php?name=test
该功能可通过AI 识别XSS的payload是否注入成功,
4.与传统插件相比优势,与手工注入相比的优势
| 特性 | 传统插件(xssValidator) | XSS_Scanner |
|---|---|---|
| Payload 类型 |
alert() 等简单弹窗 |
|
| WAF 绕过能力 |
|
|
| 用户交互模拟 |
|
|
| 误报率 |
|
|
| 适用场景 |
|
|
|
|
|
|
|
|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
链接:https://pan.quark.cn/s/be261bd89fa8
· 今 日 推 荐 ·
 |
 |