zoukankan      html  css  js  c++  java
  • XSStrike工具的安装使用

    0x01简介

    XSStrike 是一款用于探测并利用XSS漏洞的脚本

    XSStrike目前所提供的产品特性:

    对参数进行模糊测试之后构建合适的payload

    使用payload对参数进行穷举匹配

    内置爬虫功能

    检测并尝试绕过WAF

    同时支持GET及POST方式

    大多数payload都是由作者精心构造

    误报率极低

    0x02下载安装

    下载地址:https://github.com/s0md3v/XSStrike

    最新版支持python3

    windows、linux系统都可以运行

    完成下载之后,进入XSStrike目录:

    cd XSStrike
    

    接下来使用如下命令安装依赖模块:

    pip install -r requirements.txt

    0x03使用方法

    1.测试一个使用GET方法的网页:

    python3 xsstrike.py -u "http://example.com/search.php?q=query"

    2.测试POST数据:

    python3 xsstrike.py -u "http://example.com/search.php" --data "q=query"
    python3 xsstrike.py -u "http://example.com/search.php" --data '{"q":"query"} --json'

    3.测试URL路径:

    python3 xsstrike.py -u "http://example.com/search/form/query" --path

    4.从目标网页开始搜寻目标并进行测试

    python3 xsstrike.py -u "http://example.com/page.php" --crawl

    您可以指定爬网的深度,默认2:-l

    python3 xsstrike.py -u "http://example.com/page.php" --crawl -l 3

    5.如果要测试文件中的URL,或者只是想添加种子进行爬网,则可以使用该--seeds选项:

    python xsstrike.py --seeds urls.txt

    6.查找隐藏的参数:

      通过解析HTML和暴力破解来查找隐藏的参数

    python3 xsstrike.py -u "http://example.com/page.php" --params

    7.盲XSS:爬行中使用此参数可向每个html表单里面的每个变量插入xss代码

    python3 xsstrike.py -u http://example.com/page.php?q=query --crawl --blind

    8.模糊测试--fuzzer

    该模糊器旨在测试过滤器和Web应用程序防火墙,可使用-d选项将延迟设置为1秒

    python3 xsstrike.py -u "http://example.com/search.php?q=query" --fuzzer

    9.跳过DOM扫描

     在爬网时可跳过DOM XSS扫描,以节省时间

    python3 xsstrike.py -u "http://example.com/search.php?q=query" --skip-dom

    10.更新:

    如果跟上--updata选项,XSStrike将检查更新。如果有更新的版本可用,XSStrike将下载更新并将其合并到当前目录中,而不会覆盖其他文件。

    python3 xsstrike.py --update
  • 相关阅读:
    全新通用编程语言 Def 招募核心贡献者、文档作者、布道师 deflang.org
    全球最快的JS模板引擎:tppl
    4行代码实现js模板引擎
    [Node.js框架] 为什么要开发 Codekart 框架
    Android用BusyBox替换系统toolbox
    纪念一下,昨天换手机了
    在Android上使用gcc编译C/C++源程序
    关于BAPI_ACC_DOCUMENT_POST解读
    关于ABAP和JSON互相转换
    关于客户和供应商预制凭证添加WBS字段
  • 原文地址:https://www.cnblogs.com/-chenxs/p/12329506.html
Copyright © 2011-2022 走看看