Casa » Strumenti Linux » XSStrike – Rilevamento XSS avanzato | Tutorial completo!

XSStrike – Rilevamento XSS avanzato | Tutorial completo!

di friday funkin Il Suyash
xsstrike

XSStrike rende letteralmente il rilevamento XSS molto semplice!

È uno strumento molto utile che si può usare.

Che cos'è XSStrike?

XSStrike è uno strumento di scripting cross-site.

Viene fornito con quattro parser scritti a mano, un generatore di payload intelligente, un ottimo motore fuzzing, e un cingolato incredibilmente veloce.

XSStrike a differenza di altri strumenti non inietta payload.

Utilizza invece parser fatti a mano per testare le varie risposte dell'applicazione web.

Anche, può eseguire la scansione di DOM XSS.

Può anche strisciare, impronta digitale, e fuzz WAF.

Lo strumento richiede Pitone 3.4+ lavorare.

inoltre, supporta Linux, Mac, e persino Windows.


Scelta dell'editore:


Punti salienti di XSStrike:

  • Analisi del contesto.
  • Core configurabile.
  • Flusso di lavoro altamente ricercato.
  • Scansione riflessa e DOM XSS.
  • Scansione multi-thread.
  • Rilevamento WAF & evasione, Impronta digitale WAF.
  • HTML fatto a mano & Parser JavaScript.
  • Potente motore fuzzing.
  • Generatore di carico utile intelligente.
  • Supporto HTTP completo.
  • Alimentato da Photon, Zetanize, e Arjun.
  • Codice ben documentato e aggiornamenti regolari.

Installazione di XSStrike:

  1. Clonazione del repository git.
$ git clone https://github.com/s0md3v/XSStrike.git

2. Navigazione nella directory e installazione dei requisiti:

$ cd XSStrike
$ pip install -r requisiti.txt

3. In esecuzione XSStrike:

$ python xsstrike

Utilizzo di XSStrike:

Per elencare tutti gli argomenti disponibili, genere--help:

utilizzo: xsstrike.py [-h] [-u TARGET] [--data DATE] [-t FILETTATURE]
                   [--fuzzer] [--aggiornare] [--tempo scaduto] [--params] [--strisciare]
                   [--skip-poc] [--skip-dom] [--intestazioni] [-d RITARDO]

argomenti opzionali:
  -h, --help mostra questo messaggio di aiuto ed esce
  -u, --URL target url
  --data post data
  -t, --thread numero di thread
  -l, --livello livello di scansione
  --fuzzer fuzzer
  - aggiornamento aggiornamento
  - timeout timeout
  --params trova i parametri
  - crawl crawl
  --skip-poc salta la generazione di poc
  --skip-dom salta il controllo dom
  --headers aggiunge le intestazioni
  -d, --ritardo ritardo tra le richieste

Come utilizzare XSStrike Tool?

Usare questo strumento è abbastanza semplice.

Hai solo bisogno di capire alcune delle basi di Linux.

Non preoccuparti, ti guideremo nell'utilizzo passo dopo passo.

1. Scansione di un singolo URL:

Opzione: -u o --url

Per testare una singola pagina web che utilizza il metodo GET:

$ python xsstrike.py -u "http://example.com/search.php?q = query"

Fornitura di dati POST:

$ python xsstrike.py -u "http://example.com/search.php" --dati "q = query"

2. Strisciando:

Opzione: --crawl

Per avviare la scansione dalla pagina web di destinazione, correre:

$ python xsstrike.py -u "http://example.com/page.php" --strisciare

Per trovare parametri nascosti:

Opzione: --params

$ python xsstrike.py -u "http://example.com/page.php" --params

3. Saltare POC e DOM:

Opzione: --skip-poc

$ python xsstrike.py -u "http://example.com/search.php?q = query" --skip-poc

Opzione: --skip-dom

$ python xsstrike.py -u "http://example.com/search.php?q = query" --skip-dom

Conclusione:

XSStrike è uno strumento davvero straordinario per trovare la vulnerabilità XSS nelle applicazioni web.

Puoi usare questo strumento per tua comodità.

Se ti è piaciuto il nostro contenuto, assicurati di lasciare un commento in basso e apprezzare il nostro team. Se hai difficoltà a utilizzare questo strumento, puoi lasciare le tue domande in basso. Il Team CSHAWK ti contatterà presto.

Lascia un commento