XSStrike:基于Python的XSS测试工具

简介

XSStrike 是一款用于探测并利用XSS漏洞的脚本

XSStrike目前所提供的产品特性:

对参数进行模糊测试之后构建合适的payload

使用payload对参数进行穷举匹配

内置爬虫功能

检测并尝试绕过WAF

同时支持GET及POST方式

大多数payload都是由作者精心构造

误报率极低

debian及kali系统可直接下载本.deb安装包

通用安装方法

使用如下命令进行下载:

完成下载之后,进入XSStrike目录:

接下来使用如下命令安装依赖模块:

完成安装,使用如下命令即可运行XSStrike:

注意:本脚本仅支持Python 2.7

使用说明

这时便可以键入目标URL,但请通过插入”d3v

例如:target.com/search.php?q=d3v&category=1

键入目标URL之后,XSStrike将检测该目标是否有WAF保护,如果不受WAF保护你将看到下面4个选项

1. Fuzzer: 检测输入内容是如何在网页下进行反映的,之后据此尝试构建payload

2. Striker: 对所有参数逐一进行穷举匹配,并在浏览器窗口中生成POC

3. Spider: 提取目标页面上所有存在的链接,并对这些链接进行XSS测试

4. Hulk: 使用了一种不同寻常的方式,直接无视掉输入所对应的网页内容变化。其有一个 polyglots 列表以及可靠的payload,它会逐一在目标参数中键入并在浏览器窗口中打开这些组合URL

XSStrike同样也可以绕过WAF

XSStrike 也支持 POST 方式

你也可向 XSStrike 提供 cookies

与其他使用蛮力算法的程序不同,XSStrike有着少而精的payload,其中大多数都是由作者精心构造的。如果你发现其中的BUG或者对程序有更好的建议,欢迎到我的Facebook主页下或者GitHub仓库留言

文章出处:FreeBuf

本文来自企鹅号 - 黑白之道媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云计算

Kubernetes中的Service Mesh(第5部分):Dogfood环境和入口

原文地址:https://dzone.com/articles/a-service-mesh-for-kubernetes-part-v-dogfood-env...

29280
来自专栏aoho求索

NSQ深入与实践

1. 介绍 最近在研究一些消息中间件,常用的MQ如RabbitMQ,ActiveMQ,Kafka等。NSQ是一个基于Go语言的分布式实时消息平台,它基于MIT开...

68690
来自专栏日暮星辰

腾讯云云主机实现多IP绑定

腾讯云主机实际上一直允许绑定弹性IP,最开始是可以实现经典IP更换为弹性IP可以有效的屏蔽掉攻击,释放IP进行更换。

61930
来自专栏腾讯云serverless的专栏

使用 SCF 无服务器云函数定时拨测站点并邮件告警

利用无服务器架构中提供的定时触发能力,在运维监控场景有很多种用处,例如定时备份、定时拨测、定时统计等。

9.5K20
来自专栏IT技术精选文摘

如何利用配置中心规范构建PaaS服务配置

在上一篇文章中,我们以MQ和ACM为例,讨论了如何借助配置中心对消息进行限流管理的场景。在本文中,我们继续以该场景为例,讲述如何以规范的配置命名格式来进行限流设...

43080
来自专栏老蒋专栏

腾讯云服务器扩容云磁盘增容至挂载盘目录中的方法

在老蒋记录的文章中,关于VPS、服务器的挂载盘问题其实也是比较多的,但是确实因为疏忽不同的服务商可能操作起来有所不同。最近主要对腾讯云服务器这块的云磁盘扩容挂载...

1.7K60
来自专栏DevOps时代的专栏

基于 Docker 持续交付平台建设的实践

作为创业公司和推行 DevOps 工程师们来说,都遇到过这样的问题: 1. 硬件资源利用率的问题,造成部分成本的浪费 在网站功能中不同的业务场景有计算型的,有...

30270
来自专栏calmound

Kinect安装

 在连接kinect机器前,需要先安装两个软件,而在安装这两个软件前需要有vs2010(专业版本和快速版),因为需要包含.net framework 4.0 k...

33070
来自专栏编程坑太多

『中级篇』docker企业版本地安装之UCP(57)

PS:详细不介绍,就是一个图形化的,没啥介绍的。下次在阿里平台是建立下用云端玩玩。

28140
来自专栏EAWorld

有状态容器实践:k8s集成ceph分布式存储

? 大家好,今天由我为大家介绍一下我们对于k8s与ceph集成的预研成果。对于k8s与ceph,我们也了解有限,有些理解不对的地方,还请大家指正。 ? 今天将...

1.2K60

扫码关注云+社区

领取腾讯云代金券