0x01 xsser
xsser是一款用於針對Web應用程序自動化挖掘、利用、報告xss漏洞的框架。kali默認安裝。
命令行啟動:xsser
圖形化界面啟動:xsser --gtk
幫助信息:xsser -h或xsser --help
0x02 XSStrike
1.簡介
XSStrike是一款檢測Cross Site Scripting的高級檢測工具。它集成了payload生成器、爬蟲和模糊引擎功能。XSStrike不是像其他工具那樣注入有效負載並檢查其工作,而是通過多個解析器分析響應,然后通過與模糊引擎集成的上下文分析來保證有效負載。除此之外,XSStrike還具有爬行,模糊測試,參數發現,WAF檢測功能。它還會掃描DOM XSS漏洞。
項目地址:https://github.com/s0md3v/XSStrike
XSStrike只可以運行在python 3.6 以上版本。
2.工具安裝:
sudo apt-get install python3-pip git clone https://github.com/s0md3v/XSStrike.git cd XSStrike pip3 install -r requirements.txt chmod +x xsstrike.py
3.查看幫助信息:
./xsstrike.py -h或者./xsstrike.py --help
4.這里做一個簡單的實驗,寫一個xss.php放入/var/www/html目錄下,並啟動apache2(service apache2 start):
<html> <?php $n = $_GET['payload']; echo $n; ?> </html>
使用XSStrike工具進行探測:
輸入y會繼續探測,輸入n會停止探測,再將payload插入url即可。
5.測試方法:
測試一個GET型頁面:
./xsstrike.py -u "url"
測試POST:
./xsstrike.py -u "url" --data 'payload=1'
從目標網頁開始搜尋目標並進行測試:
./xsstrike.py -u "url" --crawl 也可以指定深度:-l (默認是2) ./xsstrike.py -u "url" --crawl -l 2
更新
./xsstrike.py --update
總的來說,XSStrike的命令參數不多,通過查看幫助信息,可以很好的了解並熟悉。