启动BurpSuite，进入Extender，选择BApp Store，找到XSS Validator插件并安装。

安装phantomjs，这是一个基于webkit的JavaScript API，功能强大，可以执行JavaScript代码，操作DOM，支持Web标准，提供文件I/O操作，适用于网络监测、网页截屏、无需浏览器的Web测试等。

下载phantomjs，解压安装，下载xss.js脚本。运行phantomjs命令执行xss.js。

安装XSS插件后，BurpSuite会新增一个选项卡，需要修改两个参数。抓取可能存在XSS漏洞的页面，右击发送到Intruder模块。

设置Intruder模块，包括payload和options选项。清除原有设置，添加新的Grep Phrase。开始攻击，执行结果中，可利用的payload后通常会有对钩标记。

请注意，使用此插件时应合法操作，否则可能承担相应责任。

标签 2021kali系列 burpsuitexss插件