利用XSStrike Fuzzing XSS漏洞

利用XSStrike Fuzzing XSS漏洞

黑客软件hacker2019-06-07 23:33:5611041A+A-

有关XSStrike这个专用工具虽知前人写过有关材料,可是早已经历1年事隔了,这个专用工具早已产生重特大的更改(如从仅适用python2.2 更改为python 3.7),因而還是必须再度写一下下的。

介绍

XSStrike是这款检验Cross Site Scripting的高級测试工具。它集成化了payload生成器、网络爬虫和模糊不清模块作用。XSStrike并不是像别的专用工具那么引入合理负荷并查验其工作中,只是根据好几个在线解析剖析没有响应,随后根据与模糊不清模块集成化的语义剖析来确保合理负荷。此外,XSStrike还具备爬行运动,模糊不清检测,主要参数发觉,WAF检验作用。它还会扫描仪DOM XSS系统漏洞。

新项目详细地址:https://github.Com/s0md3v/XSStrike

特性

利用XSStrike Fuzzing XSS漏洞 第1张

反射面和DOM XSS扫描仪

多线程爬取

背景图剖析

可配备的关键

WAF检验和避开

电脑浏览器模块集变成零误报率

智能化负荷产生器

手工制做的html语言和JavaScript在线解析

强劲的模糊不清模块

适用Blind XSS

健全的工作内容

详细的.com适用

来源于文档的Bruteforce合理负荷

有效载荷编号

python撰写

安裝

因为XSStrike只能够运作在python 3.7 左右版本号,因而写作者应用parrot来安裝运作这个专用工具(写作者的旧版Kali 内置的python 3 版本号是3.6的)。

1、给python3安裝pip,应用指令给出:

sudo apt-set install python3-pip 

2、免费下载XSStrike,指令给出:

git clone https://github.Com/s0md3v/XSStrike.git 

3、安裝依靠控制模块,指令给出:

pip3 install -r requirements.txt 

4、运作专用工具,指令给出:

python3 xsstrike.py -u ".com://target" 

使用方法

 -h, --help //显示信息协助信息内容 -u, --url //特定总体目标URL --data //POST方法递交內容 -v, --verbose //详尽輸出 -f, --file //载入自定paload词典 -t, --threads //界定线程数 -l, --level //爬行运动深度1 -t, --encode //界定payload编码方式 --json //将POST统计数据视作JSON --path //检测URL相对路径部件 --seeds //从文件中检测、爬取URL --fuzzer //检测过滤装置和web手机应用程序服务器防火墙。 --update //升级 --timeout //设定请求超时時间 --params //特定主要参数 --crawl //爬行运动 --proxy //应用代理商 --blind //盲检测 --skip //绕过确定提醒 --skip-dom //绕过DOM扫描仪 --headers //出示.com标头 -d, --delay //设定延迟时间 

案例

以便检测该专用工具的应用性,写作者写了1个简易的存有XSS系统漏洞的PHP文档。写作者为它取名为xss.php文档。

xss.php编码给出图:

储存并发送至写作者自个的网络服务器上。 

图为是根据专用工具Fuzzing出去的1个payload:


点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 1条评论
  • 野欢遐迩2022-06-02 18:50:21
  •   2、免费下载XSStrike,指令给出:git clone https://github.Com/s0md3v/XSStrike.git  3、安裝依靠控制模块,指令给出:pip3 install -r requirements.txt  4、运作专用工具,

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理