burpSuite被越來越多的人知曉，它之中的部分模塊可能會用的人並不多。下面介紹的是xssValidator 的用法。

安裝擴展器

如果您有安裝擴展程序的經驗，可以跳過本節。

自動安裝

手動安裝

打開Burp Suite如果尚未打開。導航到擴展選項卡，然後單擊添加按鈕，如下所示：

確保擴展類型是Java，然後單擊選擇文件按鈕並瀏覽到xssValidator.jar文件的位置。

點擊添加，然後出現一個窗口。通過單擊錯誤選項卡確保沒有錯誤。如果發生錯誤，可能是.jar文件與您的Java版本不兼容。確保您正在運行Java 7.如果錯誤仍然與我們聯系，讓我們來幫助您！

添加擴展器後，應該會看到它顯示在Burp擴展器面板上，如下所示。

準備攻擊

為目標請求創建新的Intruder攻擊。按照通常的方式定義目標，並導航到“有效載荷”選項卡。選擇擴展生成的有效載荷類型，如下所示。

單擊選擇生成器，然後選擇XSS驗證器有效負載生成器。

單擊有效負載處理下的添加按鈕，然後從下拉菜單中選擇Invoke Burp Extension。選擇XSS驗證器處理器，然後單擊確定。

定義有效載荷位置，如果還沒有。在我們使用的示例中，xsstest.php文件具有XSS易受攻擊的GET參數，測試。我們定義為我們的目標參數，如下所示：

在選項選項卡下，瀏覽到Grep - Match部分，並輸入字符串“ fy7sdufsuidfhuisdf”。如果有效載荷成功觸發XSS，Burl Extender將返回此字符串。

在啟動攻擊之前，啟動PhantomJS服務器，更改為xss-detector目錄並執行“phantomjs xss.js”。執行該命令後，服務器將正在偵聽。

切換回Burp Intruder Attack並啟動。成功觸發XSS攻擊的有效載荷將被存在“ fy7sdufsuidfhuisdf ”標誌所指出，如下所示。

如果要驗證XSS查找，只需右鍵單擊特定的有效載荷，然後選擇瀏覽 - 請求瀏覽器 - >原始會話。

參考資料

　　https://nvisium.com/blog/2014/01/31/accurate-xss-detection-with-burpsuite/

　　https://github.com/nVisium/xssValidator

burpSuite 中xssValidator 的用法