XSStrajk dosłownie sprawia, że wykrywanie XSS jest bardzo proste!
Jest to bardzo przydatne narzędzie, z którego można skorzystać.
Co to jest XSStrike?
XSStrajk to narzędzie do tworzenia skryptów między witrynami.
Jest wyposażony w cztery odręczne parsery, inteligentny generator ładunku, świetny, fuksujący silnik, i niesamowicie szybki robot.
XSStrajk w przeciwieństwie do innych narzędzi nie wprowadza żadnych ładunków.
Zamiast tego wykorzystuje ręcznie robione parsery do testowania różnych odpowiedzi aplikacji internetowych.
Również, może skanować DOM XSS.
Potrafi także czołgać się, odcisk palca, i fuzzowe WAF-y.
Narzędzie wymaga Pyton 3.4+ pracować.
Ponadto, obsługuje Linuksa, Prochowiec, a nawet Windowsa.
Wybór redaktora:
- Macof – najlepsze narzędzie do powodzi | Instruktaż[2020]
- NWAnime – najlepsze alternatywy dla NWAnime [2020]
- CCMAKER — pobierz kompletny zestaw do piractwa firmy Adobe[2020]
- LOSMOVIES – najlepsza istniejąca witryna do strumieniowego przesyłania filmów
- Andrax – Testy penetracyjne na Androidzie | Kompletny przewodnik
Najważniejsze wydarzenia XSStrike:
- Analiza kontekstu.
- Konfigurowalny rdzeń.
- Wysoce zbadany przepływ pracy.
- Skanowanie odbite i DOM XSS.
- Indeksowanie wielowątkowe.
- Wykrywanie WAF-u & uchylanie się, Odciski palców WAF.
- Ręcznie robiony kod HTML & Parser JavaScriptu.
- Potężny silnik fuzzujący.
- Inteligentny generator ładunku.
- Pełna obsługa protokołu HTTP.
- Obsługiwane przez Photon, Zetanizować, i Ardżuna.
- Dobrze udokumentowany kod i regularne aktualizacje.
Instalowanie XSStrike'a:
- Klonowanie repozytorium git.
$ git klon https://github.com/s0md3v/XSStrike.git
2. Nawigacja po katalogu i instalacja wymagań:
$ płyta XSStrike $ pip install -r wymagania.txt
3. Działanie XSStrajk:
$ Pythona xsstrike
Użycie XSStrike:
Aby wyświetlić listę wszystkich dostępnych argumentów, typ--help:
stosowanie: xsstrike.py [-H] [-u CEL] [--dane DANE] [-GWINTÓW]
[--fuzzer] [--aktualizacja] [--przekroczenie limitu czasu] [--parametry] [--pełzać]
[--pomiń-poc] [--pomiń-głupio] [--nagłówki] [-OPÓŹNIENIE]
opcjonalne argumenty:
-H, --help wyświetl ten komunikat pomocy i wyjdź
-ty, --docelowy adres URL
--dane wysyłają dane
-T, --wątki liczba wątków
-l, --poziom indeksowania
--fuzzer-fuzzer
--aktualizuj aktualizację
--przekroczenie limitu czasu
--params znajduje parametry
--pełzanie,pełzanie
--skip-poc Pomiń generowanie poc
--skip-dom pomiń sprawdzanie domeny
--headers dodaje nagłówki
-D, --opóźnienie opóźnienie między żądaniami
Jak korzystać z narzędzia XSStrike?
Korzystanie z tego narzędzia jest dość proste.
Wystarczy zrozumieć pewne podstawy Linuksa.
Nie martw się, poprowadzimy Cię przez korzystanie z niego krok po kroku.
1. Skanowanie pojedynczego adresu URL:
Opcja: -u Lub --url
Aby przetestować pojedynczą stronę internetową korzystającą z metody GET:
$ python xsstrike.py -u "http://przykład.com/search.php?q=zapytanie"
Dostarczanie danych POST:
$ python xsstrike.py -u "http://przykład.com/search.php" --dane "q=zapytanie"
2. Czołganie się:
Opcja: --crawl
Aby rozpocząć indeksowanie od docelowej strony internetowej, uruchomić:
$ python xsstrike.py -u "http://przykład.com/page.php" --pełzać
Aby znaleźć ukryte parametry:
Opcja: --params
$ python xsstrike.py -u "http://przykład.com/page.php" --parametry
3. Pomijam POC i DOM:
Opcja: --skip-poc
$ python xsstrike.py -u "http://przykład.com/search.php?q=zapytanie" --pomiń-poc
Opcja: --skip-dom
$ python xsstrike.py -u "http://przykład.com/search.php?q=zapytanie" --pomiń-głupio
Wniosek:
XSStrajk to naprawdę niesamowite narzędzie do wyszukiwania podatności XSS w aplikacjach internetowych.
Możesz użyć tego narzędzia dla swojej wygody.
Jeśli spodobały Ci się nasze treści, zostaw komentarz poniżej i doceń nasz zespół. Jeśli korzystanie z tego narzędzia sprawia Ci trudność, możesz zadać swoje pytania poniżej. Zespół CSHAWK wkrótce się z Tobą skontaktuje.
