Stai dicendo che vuoi un elenco di parametri di richiesta? Se è così, non penso sia possibile, anche se puoi filtrare richieste contenenti parametri e richieste che non lo fanno.
What is the best way to filter that list (or otherwise) so I can get an idea around what points to look at protecting for XSS and CSRF?
Il modo migliore per cercare i problemi XSS è verificare se i parametri di input sono riflessi come nelle risposte corrispondenti. Esiste già un plug-in scritto per rilevare se i parametri di input sono riflessi nella risposta, denominati Parametri riflessi , ma dubito che sia solo per la versione pro.
Per cercare i problemi CSRF, puoi verificare se la richiesta contiene un token e filtrare le richieste che contengono quella parola chiave (ad esempio, Facebook utilizza fb_dtsg come un token anti-csrf).
Con questi metodi, puoi procedere con test reali.
E, per quanto ricordo, la versione gratuita di Burp Suite non consente di filtrare le richieste :(
FYI, OWASP Il proxy ZAP è un'alternativa a Burp Suite ed è gratuito.