¿Está diciendo que desea una lista de parámetros de solicitud? Si es así, no creo que sea posible, aunque puede filtrar solicitudes que contienen parámetros y solicitudes que no.
¿Cuál es la mejor manera de filtrar esa lista (o de otra manera) para que pueda hacerme una idea sobre qué puntos considerar la protección para XSS y CSRF?
La mejor manera de buscar problemas de XSS es verificar si los parámetros de entrada se reflejan como están en las respuestas correspondientes. Ya hay un complemento escrito para detectar si los parámetros de entrada se reflejan nuevamente en la respuesta, llamados Parámetros reflejados , pero dudo que sea solo para la versión Pro.
Para buscar problemas de CSRF, puede verificar si la solicitud contiene un token y filtrar las solicitudes que contienen esa palabra clave (por ejemplo, Facebook usa fb_dtsg como un token anti-csrf).
Con estos en su lugar, puede proceder con pruebas reales.
Y, por lo que recuerdo, la versión gratuita de Burp Suite no permite filtrar solicitudes :(
Para tu información, OWASP ZAP Proxy es una alternativa a Burp Suite, y es gratis.