今天就跟大家聊聊有關(guān)如何使用XSStrike ����,可能很多人都不太了解��,為了讓大家更加了解�,小編給大家總結(jié)了以下內(nèi)容,希望大家根據(jù)這篇文章可以有所收獲����。
創(chuàng)新新互聯(lián)��,憑借十年的網(wǎng)站設(shè)計、做網(wǎng)站經(jīng)驗�����,本著真心·誠心服務(wù)的企業(yè)理念服務(wù)于成都中小企業(yè)設(shè)計網(wǎng)站有1000多家案例�����。做網(wǎng)站建設(shè)����,選成都創(chuàng)新互聯(lián)。
簡介
XSStrike是一款檢測Cross Site Scripting的高級檢測工具���。它集成了payload生成器�����、爬蟲和模糊引擎功能����。XSStrike不是像其他工具那樣注入有效負載并檢查其工作,而是通過多個解析器分析響應��,然后通過與模糊引擎集成的上下文分析來保證有效負載���。除此之外��,XSStrike還具有爬行�,模糊測試����,參數(shù)發(fā)現(xiàn),WAF檢測功能�。它還會掃描DOM XSS漏洞。
特點
反射和DOM XSS掃描
多線程抓取
背景分析
可配置的核心
WAF檢測和規(guī)避
瀏覽器引擎集成為零誤報率
智能負載發(fā)生器
手工制作的HTML和JavaScript解析器
強大的模糊引擎
支持Blind XSS
完善的工作流程
完整的HTTP支持
來自文件的Bruteforce有效負載
有效載荷編碼
python編寫
安裝
由于XSStrike只可以運行在python 3.6 以上版本��,因此筆者使用parrot來安裝運行這款工具(筆者的舊版Kali 自帶的python 3 版本是3.5的)��。
1�、給python3安裝pip,使用命令如下:
sudo apt-get install python3-pip
2���、下載XSStrike����,命令如下:
git clone https://github.com/s0md3v/XSStrike.git
3、安裝依賴模塊����,命令如下:
pip3 install -r requirements.txt
4、運行工具�����,命令如下:
python3 xsstrike.py -u "http://target"
用法
-h, --help //顯示幫助信息
-u, --url //指定目標URL
--data //POST方式提交內(nèi)容
-v, --verbose //詳細輸出
-f, --file //加載自定義paload字典
-t, --threads //定義線程數(shù)
-l, --level //爬行深度
-t, --encode //定義payload編碼方式
--json //將POST數(shù)據(jù)視為JSON
--path //測試URL路徑組件
--seeds //從文件中測試����、抓取URL
--fuzzer //測試過濾器和Web應用程序防火墻��。
--update //更新
--timeout //設(shè)置超時時間
--params //指定參數(shù)
--crawl //爬行
--proxy //使用代理
--blind //盲測試
--skip //跳過確認提示
--skip-dom //跳過DOM掃描
--headers //提供HTTP標頭
-d, --delay //設(shè)置延遲
實例
為了測試該工具的實用性�,筆者寫了一個簡單的存在XSS漏洞的PHP文件。筆者為它命名為xss.php文件��。
xss.php代碼如下圖:
保存并上傳至筆者自己的服務(wù)器上����。
下圖是通過工具Fuzzing出來的一個payload:
我們利用工具Fuzzing出來的payload進行一下測試,測試結(jié)果如下圖所示:
看完上述內(nèi)容����,你們對如何使用XSStrike 有進一步的了解嗎���?如果還想了解更多知識或者相關(guān)內(nèi)容,請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道��,感謝大家的支持�����。
名稱欄目:如何使用XSStrike
文章來源:
http://weahome.cn/article/joiioo.html
重慶分公司
重慶分公司
