专业的社区

通用设置

测试基于DOM的漏洞通常会引起副作用，以阻止您正在测试的网站正确工作。beplay体育能用吗DOM Invader具有高度配置，以确保您可以微调其行为以获得最佳结果。

要访问DOM Invader设置菜单，请单击浏览器右上角的Burp Suite徽标，然后切换到Dom Invader标签。

以下一般设置可从主入DOM Invader设置菜单获得。

术后拦截

启用此设置后，您可以使用消息在DevTools面板中查看以测试DOMXSS在网站的网络消息中。beplay体育能用吗有关DOM Invader的Web消息功能的更多信息，请参阅beplay体育能用吗使用Web消息测试DOM XSSbeplay体育能用吗。

还有一些子选择可以让您微调这种行为。有关更多信息，请参阅beplay体育能用吗Web消息设置。

一些网站触beplay体育能用吗发了大量消息，这可能会使由于噪声量而难以进行测试。启用此设置后，DOM Invader会比较每个条目的堆栈跟踪，并将任何指向与现有条目相同的位置指向相同位置。

启用此设置后，DOM Invader在页面加载后立即在每个元素上自动触发单击和鼠标事件。这很有用，如果您注射的有效载荷仅在发生这些事件之一时才到达水槽。

您可能会发现您的某些操作导致客户端重定向到另一页。这可能会干扰测试，因为DOM Invader发现的来源和水槽将被清除并使用新页面上的来源和水槽进行更新。

启用此设置后，DOM Invader会阻止任何客户端重定向，以便您保留在同一页面上。但是，重定向到JavaScript：URL或由注入URL按钮，仍然正常工作。

而不是完全阻止客户端重定向预防重定向设置，您可以启用此功能在触发重定向的代码之前设置断点。目前，使用Chrome的标准DevTools不可能。

添加断点使您可以查看浏览器DevTools中的呼叫堆栈，以查看重定向的发生位置，这对于调试可能很有用。

启用此设置后，DOM Invader会自动尝试识别客户端原型污染的来源，除了常规的DOM XSS源和接收器。

有关DOM Invader的原型污染功能的更多信息，请参见测试客户端原型污染。

您可以单击此设置旁边的COG图标，以访问一些其他设置以进行微调。有关特定于原型污染的配置选项的更多信息，请参见原型污染设置。

启用此设置后，DOM Invader会自动将金丝雀注入页面上的任何已识别来源。它为每个源的金丝雀附加了一个唯一的字符串，因此您可以轻松识别哪些源流入每个水槽。

实际上，将金丝雀注入每个来源通常会阻止站点正确工作。如果您单击此设置旁边的COG图标，则可以禁用特定来源，以便DOM Invader跳过它们。您可能需要逐渐消除有问题的来源，以便更有效地使用此功能。

您还可以禁用来源以专注于特定的来源。这可以节省您每次加载新页面时必须手动将金丝雀粘贴到源中。

在设置菜单的底部，您可以看到Dom Invader当前跟踪的金丝雀字符串。您可以随时替换随机生成的默认金丝雀。

更改金丝雀：

为避免误报，请确保您使用的字符串不会自然出现在页面上。

要打开源和接收器设置，请单击主侵入器开关旁边的COG图标。从这里，您可以控制哪些来源和下沉DOM Invader仪器。默认情况下，所有来源都是隐藏的，只有最有趣的水槽是仪器。

如果特定水槽阻止站点正确工作，则可能需要禁用该仪器的仪器。例如，仪器eval（）可以改变其行为并打破相关功能。

您可以在识别源，接收器或Web消息时将DOM Invader配置为执行自定义回调功能。beplay体育能用吗您可以创建自己的自定义回调或使用默认值，这使您可以通过将结果记录到控制台来导出结果。

每当Dom Invader识别可控的接收器时，另一个有用的回调可能包含一个调试器语句，以暂停脚本执行。这将使您能够研究呼叫堆栈。

默认回调函数已准备就绪，但是您需要如下启用它：