XSSstrike litteralment jagħmel l-iskoperta XSS sempliċi ħafna!
Hija għodda ferm handy wieħed jista 'juża.
X'inhu XSStrike?
XSSstrike hija għodda cross-site scripting.
Huwa pprovdut b'erba' parsers miktuba bl-idejn, ġeneratur intelliġenti tat-tagħbija, magna fuzzing kbira, u crawler veloċi tal-għaġeb.
XSSstrike b'differenza għodod oħra ma tinjetta payloads.
Minflok juża parsers magħmulin bl-idejn biex jittestja t-tweġibiet varji tal-applikazzjoni tal-web.
Ukoll, jista' jiskennja ta' DOM XSS.
Jista 'wkoll jitkaxkar, marki tas-swaba', u fuzz WAFs.
L-għodda teħtieġ Python 3.4+ biex taħdem.
Barra minn hekk, jappoġġja Linux, Mac, u anke Windows.
Għażla tal-editur:
- Macof - Għodda għall-Għargħar Aħħari | Tutorja[2020]
- Nwanime - L-Aħjar Alternattivi ta 'Nwanime [2020]
- CCMAKER – Niżżel il-Kit Ultimate tal-Piraterija tal-Adobe[2020]
- LOSMOVIES – L-Aqwa Websajt tal-Streaming tal-Films Ħaj
- Andrax – Ittestjar tal-Penetrazzjoni fuq Android | Gwida Tlesti
XSStrike Highlights:
- Analiżi tal-kuntest.
- Qalba Konfigurabbli.
- Fluss tax-Xogħol Riċerkat ħafna.
- Skannjar rifless u DOM XSS.
- Tkaxkir b'ħafna kamini.
- Sejbien tal-WAF & evażjoni, Marki tas-swaba' WAF.
- HTML magħmul bl-idejn & parser JavaScript.
- Magna fuzzing qawwija.
- Ġeneratur intelliġenti tat-tagħbija.
- Tlesti Appoġġ HTTP.
- Powered by Photon, Zetanizza, u Arjun.
- Kodiċi dokumentat tajjeb u aġġornamenti regolari.
Installazzjoni ta' XSStrike:
- Klonazzjoni git repo.
$ git klonu https://github.com/s0md3v/XSStrike.git
2. Navigazzjoni fid-direttorju u installa r-rekwiżiti:
$ cd XSStrike $ pip install -r requirements.txt
3. Running XSSstrike:
$ python xsstrike
XSStrike Użu:
Biex telenka l-argumenti kollha disponibbli, tip--help:
użu: xsstrike.py [-h] [-u MIRA] [--data DATA] [-t ĦIJIET]
[--fuzzer] [--aġġornament] [--timeout] [--parametri] [--jitkaxkru]
[--skip-poc] [--skip-stupid] [--headers] [-d DEWMIEN]
argumenti fakultattivi:
-h, --għin biex turi dan il-messaġġ ta' għajnuna u toħroġ
-u, --url mira url
--data post data
-t, --ħjut numru ta' ħjut
-l, --livell ta 'crawling
--fuzzer fuzzer
--aġġornament aġġornament
--timeout timeout
--params find params
--crawl crawl
--skip-poc skip poc ġenerazzjoni
--skip-dom skip dom iċċekkjar
--headers żid headers
-d, --dewmien dewmien bejn it-talbiet
Kif tuża XSStrike Tool?
L-użu ta 'din l-għodda huwa pjuttost sempliċi.
Għandek bżonn biss li tifhem xi wħud mill-baŜi tal-Linux.
tinkwetax, aħna niggwidawk biex tużah pass pass.
1. Skennjar tal-URL Uniku:
Għażla: -u jew --url
Biex tittestja paġna web waħda li tuża l-metodu GET:
$ python xsstrike.py -u "http://example.com/search.php?q=mistoqsija"
Forniment ta' data POST:
$ python xsstrike.py -u "http://example.com/search.php" --data "q=mistoqsija"
2. Tkaxkir:
Għażla: --crawl
Biex tibda tkaxkar mill-paġna web fil-mira, run:
$ python xsstrike.py -u "http://example.com/page.php" --jitkaxkru
Biex issib parametri moħbija:
Għażla: --params
$ python xsstrike.py -u "http://example.com/page.php" --parametri
3. Taqbeż il-POC u DOM:
Għażla: --skip-poc
$ python xsstrike.py -u "http://example.com/search.php?q=mistoqsija" --skip-poc
Għażla: --skip-dom
$ python xsstrike.py -u "http://example.com/search.php?q=mistoqsija" --skip-stupid
Konklużjoni:
XSSstrike hija għodda verament aqwa biex issib il-vulnerabbiltà XSS fl-applikazzjonijiet tal-web.
Tista 'tuża din l-għodda għall-konvenjenza tiegħek.
Jekk għoġbok il-kontenut tagħna kun żgur li tħalli kumment hawn taħt u apprezza lit-tim tagħna. Jekk qed issibha diffiċli biex tuża din l-għodda tista' tħalli l-mistoqsijiet tiegħek hawn taħt. It-tim CSHAWK dalwaqt se jagħmel kuntatt miegħek.
