Burp Suite插件 利用AI进行XSS自动化绕过

免责声明：本篇文章仅用于技术交流，请勿利用文章内的相关技术从事非法测试，由于传播、利用本公众号无影安全实验室所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号无影安全实验室及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把"无影安全实验室"设为星标，这样更新文章也能第一时间推送！

安全工具

0x01 工具介绍

Chypass_pro 调用 AI 自动化生成绕过 WAF 的 XSS payload。本项目提供了两种打包格式：

1、下载对应的 jar 包（Java 8 或 Java 11 版本）。

2、导入插件在 Burp Suite 中选择 Extender → Extensions，点击 Add，选择 Java 类型，然后加载你下载的 jar 文件。

抓包测试以宝塔 WAF 和 Pikachu 靶场为例，在靶场的 XSS 测试点抓包。初始发送包含 XSS 代码的请求后，可看到目标返回 403 被 WAF 拦截的响应。

2.发送给 Chypass_pro将可能存在xss的数据包发送给Chypass_pro，然后在请求这边在疑似XSS的位置插入这个标签，然后点击保存模板(一定要保存)。

3、启动 AI 分析下一步，点击AI分析即可，AI会自己通过判断每轮会生成不同的payload，我们也可也查看AI分析内容，方便我们后续手工和学习。

4、查看结果稍等片刻后，历史记录侧边栏会显示多个绕过宝塔 WAF 的 payload 供参考。

点击关注下方名片进入公众号

回复关键字【250318】获取下载链接

推荐站内搜索：最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……

宙飒天下网-ZhouSa.com