fcavallarin/burp-dom-scanner

# Burp DOM 扫描器 这是一个 Burp Suite 扩展，用于对单页应用进行递归爬取和扫描。 它运行 Chromium 浏览器来扫描网页中的 DOM 型 XSS。 它还可以收集爬取过程中发出的所有请求（XHR、fetch、websockets 等），并将其转发到 Burp 的 Proxy、Repeater 和 Intruder。 它需要 node 和 [DOMDig](https://github.com/fcavallarin/domdig)。 # 下载 最新版本可以在[这里](https://github.com/fcavallarin/burp-dom-scanner/releases/latest/download/burp-dom-scanner.jar)下载 # 安装 1. 安装 [node](https://nodejs.org) 2. 安装 [DOMDig](https://github.com/fcavallarin/domdig) 3. 下载并加载该扩展 4. 在扩展的 UI 中设置 `node` 可执行文件的路径和 `domdig.js` 的路径。 # 扫描引擎 Burp DOM Scanner 使用 [DOMDig](https://github.com/fcavallarin/domdig) 作为爬取和扫描引擎。 ## DOMDig DOMDig 是一个运行在 Chromium 网页浏览器中的 DOM XSS 扫描器，它可以递归扫描单页应用（SPA）。 与其他扫描器不同，DOMDig 可以通过跟踪 DOM 修改和 XHR/fetch/websocket 请求来爬取任何 Web 应用程序（包括 gmail），并且可以通过触发事件来模拟真实用户交互。在此过程中，XSS 载荷被放入输入字段，并跟踪其执行情况，以查找注入点和相关的 URL 修改。 ## 用法与详情 关于用法、执行的检查和报告的漏洞的详情，可以在 [DOMDig 的页面](https://github.com/fcavallarin/domdig)找到 # 部分截图 

标签：BeEF, Burp Suite 插件, Chromium, CISA项目, DOMdig, DOM XSS 扫描, HTTP 请求拦截, JavaScript 安全, JS文件枚举, MITM代理, SPA 安全测试, Web 安全, Web 渗透, XSS 检测, 单页应用扫描, 域名枚举, 域名枚举, 对称加密, 抓包工具, 数据可视化, 服务管理, 爬虫, 网络安全, 自动化审计, 隐私保护