XSStrike rende letteralmente il rilevamento XSS molto semplice!
È uno strumento molto utile che si può usare.
Che cos'è XSStrike?
XSStrike è uno strumento di scripting cross-site.
Viene fornito con quattro parser scritti a mano, un generatore di payload intelligente, un ottimo motore fuzzing, e un cingolato incredibilmente veloce.
XSStrike a differenza di altri strumenti non inietta payload.
Utilizza invece parser fatti a mano per testare le varie risposte dell'applicazione web.
Anche, può eseguire la scansione di DOM XSS.
Può anche strisciare, impronta digitale, e fuzz WAF.
Lo strumento richiede Pitone 3.4+ lavorare.
inoltre, supporta Linux, Mac, e persino Windows.
Scelta dell'editore:
- Macof - Lo strumento di inondazione definitivo | lezione[2020]
- NWAnime - Le migliori alternative a NWAnime [2020]
- CCMAKER - Scarica Ultimate Adobe Piracy Kit[2020]
- LOSMOVIES - Il miglior sito di streaming di film in diretta
- Andrax - Penetration Test su Android | Guida completa
Punti salienti di XSStrike:
- Analisi del contesto.
- Core configurabile.
- Flusso di lavoro altamente ricercato.
- Scansione riflessa e DOM XSS.
- Scansione multi-thread.
- Rilevamento WAF & evasione, Impronta digitale WAF.
- HTML fatto a mano & Parser JavaScript.
- Potente motore fuzzing.
- Generatore di carico utile intelligente.
- Supporto HTTP completo.
- Alimentato da Photon, Zetanize, e Arjun.
- Codice ben documentato e aggiornamenti regolari.
Installazione di XSStrike:
- Clonazione del repository git.
$ git clone https://github.com/s0md3v/XSStrike.git
2. Navigazione nella directory e installazione dei requisiti:
$ cd XSStrike $ pip install -r requisiti.txt
3. In esecuzione XSStrike:
$ python xsstrike
Utilizzo di XSStrike:
Per elencare tutti gli argomenti disponibili, genere--help:
utilizzo: xsstrike.py [-h] [-u TARGET] [--data DATE] [-t FILETTATURE]
[--fuzzer] [--aggiornare] [--tempo scaduto] [--params] [--strisciare]
[--skip-poc] [--skip-dom] [--intestazioni] [-d RITARDO]
argomenti opzionali:
-h, --help mostra questo messaggio di aiuto ed esce
-u, --URL target url
--data post data
-t, --thread numero di thread
-l, --livello livello di scansione
--fuzzer fuzzer
- aggiornamento aggiornamento
- timeout timeout
--params trova i parametri
- crawl crawl
--skip-poc salta la generazione di poc
--skip-dom salta il controllo dom
--headers aggiunge le intestazioni
-d, --ritardo ritardo tra le richieste
Come utilizzare XSStrike Tool?
Usare questo strumento è abbastanza semplice.
Hai solo bisogno di capire alcune delle basi di Linux.
Non preoccuparti, ti guideremo nell'utilizzo passo dopo passo.
1. Scansione di un singolo URL:
Opzione: -u o --url
Per testare una singola pagina web che utilizza il metodo GET:
$ python xsstrike.py -u "http://example.com/search.php?q = query"
Fornitura di dati POST:
$ python xsstrike.py -u "http://example.com/search.php" --dati "q = query"
2. Strisciando:
Opzione: --crawl
Per avviare la scansione dalla pagina web di destinazione, correre:
$ python xsstrike.py -u "http://example.com/page.php" --strisciare
Per trovare parametri nascosti:
Opzione: --params
$ python xsstrike.py -u "http://example.com/page.php" --params
3. Saltare POC e DOM:
Opzione: --skip-poc
$ python xsstrike.py -u "http://example.com/search.php?q = query" --skip-poc
Opzione: --skip-dom
$ python xsstrike.py -u "http://example.com/search.php?q = query" --skip-dom
Conclusione:
XSStrike è uno strumento davvero straordinario per trovare la vulnerabilità XSS nelle applicazioni web.
Puoi usare questo strumento per tua comodità.
Se ti è piaciuto il nostro contenuto, assicurati di lasciare un commento in basso e apprezzare il nostro team. Se hai difficoltà a utilizzare questo strumento, puoi lasciare le tue domande in basso. Il Team CSHAWK ti contatterà presto.
