一、启动BurpSuite，选择Extender--》BApp Store--》XSS Validator，点击Install

二、安装phantomjs

它是一个基于webkit的JavaScript API。它使用QtWebKit作为它核心浏览器的功能，使用webkit来编译解释执行JavaScript代码。任何你可以在基于webkit浏览器做的事情，它都能做到。它不仅是个隐形的浏览器，提供了诸如CSS选择器、支持Web标准、DOM操作、JSON、HTML5、Canvas、SVG等，同时也提供了处理文件I/O的操作，从而使你可以向操作系统读写文件等。PhantomJS的用处可谓非常广泛，诸如网络监测、网页截屏、无需浏览器的 Web 测试、页面访问自动化等。

1、下载：​

2、解压提取PhantomJS

3、下载xss.js

4、执行监听

export OPENSSL_CONF=/etc/ssl/

./phantomjs xss.js

三、插件使用

1、点击install后，会多一个选项卡，修改下面两个参数

2、抓取可能存在xss漏洞的页面

3、右击发送到Intruder模块

4、设置Intruder模块的payload选项

5、设置Intruder模块的options选项，先清除原来，然后添加上面增加的Grep Phrase

6、开始攻击

7、执行结果，可以用的payload后面都打了对钩