XSStrike буквално прави откриването на XSS много лесно!
Това е много удобен инструмент, който може да се използва.
Какво е XSStrike?
XSStrike е инструмент за скриптове между сайтове.
Предоставя се с четири ръкописни парсера, интелигентен генератор на полезен товар, страхотен фъзинг двигател, и невероятно бърз робот.
XSStrike за разлика от други инструменти не инжектира полезни товари.
Вместо това използва ръчно изработени парсери, за да тества различните отговори на уеб приложението.
Също, може да сканира DOM XSS.
Може и да пълзи, пръстов отпечатък, и размити WAF.
Инструментът изисква Python 3.4+ да работят.
освен това, поддържа Linux, Mac, и дори Windows.
Избор на редактора:
- Macof – Най-добрият инструмент за наводняване | Урок[2020]
- NWAnime – Най-добрите алтернативи на NWAnime [2020]
- CCMAKER – Изтеглете Ultimate Adobe Piracy Kit[2020]
- LOSMOVIES – Най-добрият жив сайт за стрийминг на филми
- Andrax – Тестване за проникване на Android | Пълно ръководство
XSStrike Акценти:
- Анализ на контекста.
- Конфигурируемо ядро.
- Високо проучен работен процес.
- Отразено и DOM XSS сканиране.
- Многопоточно обхождане.
- Откриване на WAF & укриване, WAF пръстови отпечатъци.
- Ръчно изработен HTML & Анализатор на JavaScript.
- Мощен фъзинг двигател.
- Интелигентен генератор на полезен товар.
- Пълна HTTP поддръжка.
- Осъществено от Photon, Zetanize, и Арджун.
- Добре документиран код и редовни актуализации.
Инсталиране на XSStrike:
- Клониране на git repo.
$ git клонинг https://github.com/s0md3v/XSStrike.git
2. Навигация в директорията и инсталиране на изискванията:
$ cd XSStrike $ pip install -r requirements.txt
3. бягане XSStrike:
$ python xsstrike
Използване на XSStrike:
За да изброите всички налични аргументи, Тип--help:
използване: xsstrike.py [-ч] [-u TARGET] [--данни ДАННИ] [-t РЕЗБИ]
[--fuzzer] [--актуализация] [--таймаут] [--параметри] [--пълзя]
[--пропуснете-пок] [--скип-глупак] [--заглавки] [-d ЗАБАВЯНЕ]
незадължителни аргументи:
-ч, --помогнете, покажете това помощно съобщение и излезте
-u, --url целеви url
--данни публикувайте данни
-т, --нишки брой нишки
-л, --ниво ниво на пълзене
--fuzzer fuzzer
--update актуализация
--timeout изчакване
--params намери параметри
--пълзя пълзя
--skip-poc пропуска генерирането на poc
--skip-dom пропуснете проверката на dom
--headers добавяне на заглавки
-г, --забавяне забавяне между заявките
Как да използвате инструмента XSStrike?
Използването на този инструмент е доста просто.
Просто трябва да разберете някои от основите на Linux.
не се безпокойте, ние ще ви напътстваме да го използвате стъпка по стъпка.
1. Сканиране на един URL адрес:
опция: -u или --url
За да тествате една уеб страница, която използва метода GET:
$ python xsstrike.py -u "http://example.com/search.php?q=заявка"
Предоставяне на POST данни:
$ python xsstrike.py -u "http://example.com/search.php" --данни "q=заявка"
2. Пълзене:
опция: --crawl
За да започнете да обхождате от целевата уеб страница, бягам:
$ python xsstrike.py -u "http://example.com/page.php" --пълзя
За намиране на скрити параметри:
опция: --params
$ python xsstrike.py -u "http://example.com/page.php" --параметри
3. Пропускане на POC и DOM:
опция: --skip-poc
$ python xsstrike.py -u "http://example.com/search.php?q=заявка" --пропуснете-пок
опция: --skip-dom
$ python xsstrike.py -u "http://example.com/search.php?q=заявка" --скип-глупак
Заключение:
XSStrike е наистина невероятен инструмент за намиране на XSS уязвимост в уеб приложенията.
Можете да използвате този инструмент за ваше удобство.
Ако сте харесали нашето съдържание, не забравяйте да оставите коментар по-долу и да оцените нашия екип. Ако ви е трудно да използвате този инструмент, можете да оставите въпросите си по-долу. Екипът на CSHAWK скоро ще се свърже с вас.
