基于Python的XSS测试工具XSStrike使用方法
简介
XSStrike 是一款用于探测并利用XSS漏洞的脚本
XSStrike目前所提供的产品特性:
对参数进行模糊测试之后构建合适的payload
使用payload对参数进行穷举匹配
内置爬虫功能
检测并尝试绕过WAF
同时支持GET及POST方式
大多数payload都是由作者精心构造
误报率极低
debian及kali系统可直接下载 本.deb安装包
通用安装方法
使用如下命令进行下载:
git clone https://github.com/UltimateHackers/XSStrike/
完成下载之后,进入XSStrike目录:
cd XSStrike
接下来使用如下命令安装依赖模块:
pip install -r requirements.txt
完成安装,使用如下命令即可运行XSStrike:
python xsstrike
注意:本脚本仅支持Python 2.7
使用说明
这时便可以键入目标URL,但请通过插入”d3v<”以标记最重要的参数
例如:target.com/search.php?q=d3v&category=1
键入目标URL之后,XSStrike将检测该目标是否有WAF保护,如果不受WAF保护你将看到下面4个选项
1. Fuzzer: 检测输入内容是如何在网页下进行反映的,之后据此尝试构建payload
2. Striker: 对所有参数逐一进行穷举匹配,并在浏览器窗口中生成POC
3. Spider: 提取目标页面上所有存在的链接,并对这些链接进行XSS测试
4. Hulk: 使用了一种不同寻常的方式,直接无视掉输入所对应的网页内容变化。其有一个 polyglots 列表以及可靠的payload,它会逐一在目标参数中键入并在浏览器窗口中打开这些组合URL
XSStrike同样也可以绕过WAF
XSStrike 也支持 POST 方式
你也可 向 XSStrike 提供 cookies
与其他使用蛮力算法的程序不同,XSStrike有着少而精的payload,其中大多数都是由作者精心构造的。
相关文章
下面小编就为大家带来一篇python 打印对象的所有属性值的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧2016-09-09
pyecharts绘制时间轮播图柱形图+饼图+玫瑰图+折线图
这篇文章主要介绍了pyecharts绘制时间轮播图柱形图+饼图+玫瑰图+折线图,文章围绕主题展开详细的内容介绍,具有一定的参考价值,感兴趣的小伙伴可以参考一下2022-06-06
这篇文章主要介绍了浅谈Tensorflow加载Vgg预训练模型的几个注意事项说明,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧2020-05-05
这篇文章主要介绍了Python机器学习入门知识,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2021-08-08
Python+Selenium自动化实现分页(pagination)处理
这篇文章主要为大家详细介绍了Python+Selenium自动化实现分页pagination处理的方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2017-03-03
这篇文章主要介绍了Python打包可执行文件的方法,结合实例形式分析了Python基于py2exe及PyInstall等打包生成可执行文件的相关技巧,需要的朋友可以参考下2016-09-09
教你Pycharm安装使用requests第三方库的详细教程
PyCharm安装第三方库是十分方便的,无需pip或其他工具,平台就自带了这个功能而且操作十分简便,今天通过本文带领大家学习Pycharm安装使用requests第三方库的详细教程,感兴趣的朋友一起看看吧2021-07-07
这篇文章主要介绍了Python OpenCV去除字母后面的杂线操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧2020-07-07
Tensorflow2.4使用Tuner选择模型最佳超参详解
这篇文章主要介绍了Tensorflow2.4使用Tuner选择模型最佳超参详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2022-11-11
本文主要介绍了python re.match函数的具体使用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2023-02-02
最新评论