xss检测工具 - XSStrike

Track-SSG   ·   发表于 2020-11-24 17:32:15   ·   安全工具

版本说明:XSStrike

下载地址:https://github.com/s0md3v/XSStrike

使用环境:python3.6

工具说明:XSStrike 是一款用于探测并利用XSS漏洞的脚本

一、安装

Linux下可以直接使用:git clone https://github.com/s0md3v/XSStrike

下载之后,进入XSStrike目录:cd XSStrike

接下来使用如下命令安装依赖模块:pip install -r requirements.txt

二、功能介绍

XSStrike目前所提供的产品特性:

  1. 对参数进行模糊测试之后构建合适的payload
  2. 使用payload对参数进行穷举匹配
  3. 内置爬虫功能
  4. 检测并尝试绕过WAF
  5. 同时支持GETPOST方式
  6. 大多数payload都是由作者精心构造
  7. 误报率极低

三、使用方法

1.测试一个使用GET方法的网页:

python3 xsstrike.py -u "http://example.com/search.php?q=query"

2.测试POST数据:

python3 xsstrike.py -u "http://example.com/search.php" --data "q=query"

python3 xsstrike.py -u "http://example.com/search.php" --data '{"q":"query"} --json'

3.测试URL路径:

python3 xsstrike.py -u "http://example.com/search/form/query" --path

4.从目标网页开始搜寻目标并进行测试

python3 xsstrike.py -u "http://example.com/page.php" --crawl

您可以指定爬网的深度,默认2:-l

python3 xsstrike.py -u "http://example.com/page.php" --crawl -l 3

5.如果要测试文件中的URL,或者只是想添加种子进行爬网,则可以使用该—seeds选项:

python xsstrike.py —seeds urls.txt

6.查找隐藏的参数:

通过解析HTML和暴力破解来查找隐藏的参数

python3 xsstrike.py -u "http://example.com/page.php" --params

7.盲XSS:爬行中使用此参数可向每个html表单里面的每个变量插入xss代码

python3 xsstrike.py -u http://example.com/page.php?q=query --crawl --blind

8.模糊测试—fuzzer

该模糊器旨在测试过滤器和Web应用程序防火墙,可使用-d选项将延迟设置为1秒。

python3 xsstrike.py -u "http://example.com/search.php?q=query" --fuzzer

9.跳过DOM扫描

在爬网时可跳过DOM XSS扫描,以节省时间

python3 xsstrike.py -u "http://example.com/search.php?q=query" --skip-dom

10.更新:

如果跟上—updata选项,XSStrike将检查更新。如果有更新的版本可用,XSStrike将下载更新并将其合并到当前目录中,而不会覆盖其他文件。

python3 xsstrike.py --update

打赏我,让我更有动力~

0 条回复   |  直到 2020-11-24 | 1586 次浏览
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.