基于Python的XSS測(cè)試工具XSStrike使用方法
簡(jiǎn)介
XSStrike 是一款用于探測(cè)并利用XSS漏洞的腳本
XSStrike目前所提供的產(chǎn)品特性:
對(duì)參數(shù)進(jìn)行模糊測(cè)試之后構(gòu)建合適的payload
使用payload對(duì)參數(shù)進(jìn)行窮舉匹配
內(nèi)置爬蟲功能
檢測(cè)并嘗試?yán)@過WAF
同時(shí)支持GET及POST方式
大多數(shù)payload都是由作者精心構(gòu)造
誤報(bào)率極低
debian及kali系統(tǒng)可直接下載 本.deb安裝包
通用安裝方法
使用如下命令進(jìn)行下載:
git clone https://github.com/UltimateHackers/XSStrike/
完成下載之后,進(jìn)入XSStrike目錄:
cd XSStrike
接下來使用如下命令安裝依賴模塊:
pip install -r requirements.txt
完成安裝,使用如下命令即可運(yùn)行XSStrike:
python xsstrike
注意:本腳本僅支持Python 2.7
使用說明
這時(shí)便可以鍵入目標(biāo)URL,但請(qǐng)通過插入”d3v<”以標(biāo)記最重要的參數(shù)
例如:target.com/search.php?q=d3v&category=1
鍵入目標(biāo)URL之后,XSStrike將檢測(cè)該目標(biāo)是否有WAF保護(hù),如果不受WAF保護(hù)你將看到下面4個(gè)選項(xiàng)
1. Fuzzer: 檢測(cè)輸入內(nèi)容是如何在網(wǎng)頁下進(jìn)行反映的,之后據(jù)此嘗試構(gòu)建payload
2. Striker: 對(duì)所有參數(shù)逐一進(jìn)行窮舉匹配,并在瀏覽器窗口中生成POC
3. Spider: 提取目標(biāo)頁面上所有存在的鏈接,并對(duì)這些鏈接進(jìn)行XSS測(cè)試
4. Hulk: 使用了一種不同尋常的方式,直接無視掉輸入所對(duì)應(yīng)的網(wǎng)頁內(nèi)容變化。其有一個(gè) polyglots 列表以及可靠的payload,它會(huì)逐一在目標(biāo)參數(shù)中鍵入并在瀏覽器窗口中打開這些組合URL
XSStrike同樣也可以繞過WAF
XSStrike 也支持 POST 方式
你也可 向 XSStrike 提供 cookies
與其他使用蠻力算法的程序不同,XSStrike有著少而精的payload,其中大多數(shù)都是由作者精心構(gòu)造的。
相關(guān)文章
django 創(chuàng)建過濾器的實(shí)例詳解
這篇文章主要介紹了django 創(chuàng)建過濾器的實(shí)例詳解的相關(guān)資料,主要說明django 創(chuàng)建過濾器來統(tǒng)一處理字符串,需要的朋友可以參考下2017-08-08python利用platform模塊獲取系統(tǒng)信息
這篇文章主要介紹了python利用platform模塊獲取系統(tǒng)信息,幫助大家更好的理解和使用python,感興趣的朋友可以了解下2020-10-10python人工智能深度學(xué)習(xí)入門邏輯回歸限制
這篇文章主要為大家介紹了python人工智能深度學(xué)習(xí)入門之邏輯回歸限制的詳細(xì)講解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步2021-11-11Python內(nèi)建類型dict深入理解源碼學(xué)習(xí)
這篇文章主要為大家介紹了Python內(nèi)建類型dict的深入理解及源碼學(xué)習(xí),有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪2023-03-03Python內(nèi)建數(shù)據(jù)結(jié)構(gòu)詳解
本文給大家匯總介紹了Python中的5種內(nèi)建數(shù)據(jù)結(jié)構(gòu)以及操作示例,非常的詳細(xì),有需要的小伙伴可以參考下。2016-02-02scrapy 遠(yuǎn)程登錄控制臺(tái)的實(shí)現(xiàn)
本文主要介紹了scrapy 遠(yuǎn)程登錄控制臺(tái)的實(shí)現(xiàn),文中通過示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧2023-02-02python中關(guān)于for循環(huán)的碎碎念
這篇文章主要介紹了python中關(guān)于for循環(huán)使用過程中的碎碎念,需要的朋友可以參考下2017-06-06