欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

基于Python的XSS測(cè)試工具XSStrike使用方法

 更新時(shí)間:2017年07月29日 17:30:30   作者:鳶尾  
XSS(Cross Site Scripting,跨站腳本攻擊)是一類特殊的Web客戶端腳本注入攻擊手段,通常指攻擊者通過“HTML注入”篡改了網(wǎng)頁,插入惡意的腳本,從而在用戶瀏覽網(wǎng)頁時(shí)控制瀏覽器的一種攻擊。

簡(jiǎn)介

XSStrike 是一款用于探測(cè)并利用XSS漏洞的腳本

XSStrike目前所提供的產(chǎn)品特性:

對(duì)參數(shù)進(jìn)行模糊測(cè)試之后構(gòu)建合適的payload

使用payload對(duì)參數(shù)進(jìn)行窮舉匹配

內(nèi)置爬蟲功能

檢測(cè)并嘗試?yán)@過WAF

同時(shí)支持GET及POST方式

大多數(shù)payload都是由作者精心構(gòu)造

誤報(bào)率極低

debian及kali系統(tǒng)可直接下載 本.deb安裝包

通用安裝方法

使用如下命令進(jìn)行下載:

git clone https://github.com/UltimateHackers/XSStrike/

完成下載之后,進(jìn)入XSStrike目錄:

cd XSStrike

接下來使用如下命令安裝依賴模塊:

pip install -r requirements.txt

完成安裝,使用如下命令即可運(yùn)行XSStrike:

python xsstrike

注意:本腳本僅支持Python 2.7

使用說明

這時(shí)便可以鍵入目標(biāo)URL,但請(qǐng)通過插入”d3v<”以標(biāo)記最重要的參數(shù)

例如:target.com/search.php?q=d3v&category=1

鍵入目標(biāo)URL之后,XSStrike將檢測(cè)該目標(biāo)是否有WAF保護(hù),如果不受WAF保護(hù)你將看到下面4個(gè)選項(xiàng)

1. Fuzzer: 檢測(cè)輸入內(nèi)容是如何在網(wǎng)頁下進(jìn)行反映的,之后據(jù)此嘗試構(gòu)建payload

2. Striker: 對(duì)所有參數(shù)逐一進(jìn)行窮舉匹配,并在瀏覽器窗口中生成POC

3. Spider: 提取目標(biāo)頁面上所有存在的鏈接,并對(duì)這些鏈接進(jìn)行XSS測(cè)試

4. Hulk: 使用了一種不同尋常的方式,直接無視掉輸入所對(duì)應(yīng)的網(wǎng)頁內(nèi)容變化。其有一個(gè) polyglots 列表以及可靠的payload,它會(huì)逐一在目標(biāo)參數(shù)中鍵入并在瀏覽器窗口中打開這些組合URL

XSStrike同樣也可以繞過WAF

XSStrike 也支持 POST 方式

你也可 向 XSStrike 提供 cookies

與其他使用蠻力算法的程序不同,XSStrike有著少而精的payload,其中大多數(shù)都是由作者精心構(gòu)造的。

相關(guān)文章

  • django 創(chuàng)建過濾器的實(shí)例詳解

    django 創(chuàng)建過濾器的實(shí)例詳解

    這篇文章主要介紹了django 創(chuàng)建過濾器的實(shí)例詳解的相關(guān)資料,主要說明django 創(chuàng)建過濾器來統(tǒng)一處理字符串,需要的朋友可以參考下
    2017-08-08
  • python利用platform模塊獲取系統(tǒng)信息

    python利用platform模塊獲取系統(tǒng)信息

    這篇文章主要介紹了python利用platform模塊獲取系統(tǒng)信息,幫助大家更好的理解和使用python,感興趣的朋友可以了解下
    2020-10-10
  • python?snap7讀寫PLC的操作方法

    python?snap7讀寫PLC的操作方法

    這篇文章主要介紹了python?snap7讀寫PLC的操作方法,本文結(jié)合實(shí)例代碼給大家介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下
    2023-02-02
  • python合并兩個(gè)字典的方法總結(jié)

    python合并兩個(gè)字典的方法總結(jié)

    在Python中,有多種方法可以通過使用各種函數(shù)和構(gòu)造函數(shù)來合并字典,在本文中,我們將討論一些合并字典的方法,有需要的小伙伴可以參考一下·
    2023-09-09
  • python人工智能深度學(xué)習(xí)入門邏輯回歸限制

    python人工智能深度學(xué)習(xí)入門邏輯回歸限制

    這篇文章主要為大家介紹了python人工智能深度學(xué)習(xí)入門之邏輯回歸限制的詳細(xì)講解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步
    2021-11-11
  • Python內(nèi)建類型dict深入理解源碼學(xué)習(xí)

    Python內(nèi)建類型dict深入理解源碼學(xué)習(xí)

    這篇文章主要為大家介紹了Python內(nèi)建類型dict的深入理解及源碼學(xué)習(xí),有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪
    2023-03-03
  • 詳解Python 合并字典

    詳解Python 合并字典

    這篇文章主要為大家介紹了Python的合并字典,具有一定的參考價(jià)值,感興趣的小伙伴們可以參考一下,希望能夠給你帶來幫助
    2021-12-12
  • Python內(nèi)建數(shù)據(jù)結(jié)構(gòu)詳解

    Python內(nèi)建數(shù)據(jù)結(jié)構(gòu)詳解

    本文給大家匯總介紹了Python中的5種內(nèi)建數(shù)據(jù)結(jié)構(gòu)以及操作示例,非常的詳細(xì),有需要的小伙伴可以參考下。
    2016-02-02
  • scrapy 遠(yuǎn)程登錄控制臺(tái)的實(shí)現(xiàn)

    scrapy 遠(yuǎn)程登錄控制臺(tái)的實(shí)現(xiàn)

    本文主要介紹了scrapy 遠(yuǎn)程登錄控制臺(tái)的實(shí)現(xiàn),文中通過示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2023-02-02
  • python中關(guān)于for循環(huán)的碎碎念

    python中關(guān)于for循環(huán)的碎碎念

    這篇文章主要介紹了python中關(guān)于for循環(huán)使用過程中的碎碎念,需要的朋友可以參考下
    2017-06-06

最新評(píng)論