12.3ķ
XSStrike 從字面上看,XSS 檢測非常簡單!
一個人可以使用的非常方便的工具.
內容
什麼是XSStrike?
XSStrike 是一個跨站腳本工具.
它提供了四個手寫解析器, 智能有效載荷生成器, 一個很棒的模糊引擎, 和一個驚人的快速爬蟲.
XSStrike 不像其他工具不注入有效載荷.
相反,它使用手工解析器來測試 Web 應用程序的各種響應.
也, 它可以掃描DOM XSS.
還可以爬, 指紋, 和模糊 WAF.
該工具需要 蟒蛇 3.4+ 上班.
此外, 它支持Linux, 蘋果電腦, 甚至 Windows.
編輯選擇:
- Macof –終極洪水工具 | 講解[2020]
- NWAnime – NWAnime的最佳選擇 [2020]
- CCMAKER –下載終極Adobe盜版工具包[2020]
- 洛斯維奇–最好的電影流媒體網站
- Andrax – Android上的滲透測試 | 完整指南
XSStrike 亮點:
- 上下文分析.
- 可配置內核.
- 高度研究的工作流程.
- 反射和 DOM XSS 掃描.
- 多線程爬取.
- WAF檢測 & 逃避, WAF指紋識別.
- 手工製作的 HTML & JavaScript 解析器.
- 強大的模糊引擎.
- 智能載荷發生器.
- 完整的 HTTP 支持.
- 由光子提供支持, 澤坦化, 和阿瓊.
- 記錄良好的代碼和定期更新.
安裝 XSStrike:
- 克隆 git repo.
$ git clone https://github.com/s0md3v/XSStrike.git
2. 導航目錄並安裝要求:
$ cd XSStrike $ pip install -r requirements.txt
3. 跑步 XSStrike:
$ 蟒蛇
XSStrike 用法:
列出所有可用的參數, 類型--help:
用法: xsstrike.py [-H] [-目標] [--日期 日期] [-t 線程]
[--模糊器] [--更新] [--超時] [--參數] [--爬行]
[--跳過 poc] [--跳過dom] [--標題] [-延遲]
可選參數:
-H, --help show this help message and exit
-u, --url target url
--data post data
-t, --threads number of threads
-l, --level level of crawling
--fuzzer fuzzer
--update update
--timeout timeout
--params find params
--crawl crawl
--skip-poc skip poc generation
--skip-dom skip dom checking
--headers add headers
-d, --請求之間的延遲延遲
如何使用 XSStrike 工具?
使用這個工具非常簡單.
你只需要了解一些 Linux 基礎知識.
不用擔心, 我們將指導您逐步使用它.
1. 掃描單個 URL:
選項: -u 要么 --url
測試使用 GET 方法的單個網頁:
$ python xsstrike.py -u "HTTP://example.com/search.php?q=查詢"
提供 POST 數據:
$ python xsstrike.py -u "HTTP://example.com/search.php" --數據 "q=查詢"
2. 爬行:
選項: --crawl
從目標網頁開始抓取, 跑:
$ python xsstrike.py -u "HTTP://example.com/page.php" --爬行
查找隱藏參數:
選項: --params
$ python xsstrike.py -u "HTTP://example.com/page.php" --參數
3. 跳過 POC 和 DOM:
選項: --skip-poc
$ python xsstrike.py -u "HTTP://example.com/search.php?q=查詢" --跳過 poc
選項: --skip-dom
$ python xsstrike.py -u "HTTP://example.com/search.php?q=查詢" --跳過dom
結論:
XSStrike 是在 Web 應用程序中查找 XSS 漏洞的真正了不起的工具.
為方便起見,您可以使用此工具.
如果您喜歡我們的內容,請務必在下方發表評論並感謝我們的團隊. 如果您發現使用此工具有困難,您可以在下方留下您的問題. CSHAWK團隊將很快與您聯繫.
