XSS fuzzing 工具
1.XSStrike工具介绍
XSStrike是一款检测Cross Site Scripting的高级检测工具。它集成了payload生成器、爬虫和模糊引擎功能。XSStrike不是像其他工具那样注入有效负载并检查其工作,而是通过多个解析器分析响应,然后通过与模糊引擎集成的上下文分析来保证有效负载。除此之外,XSStrike还具有爬行,模糊测试,参数发现,WAF检测功能。它还会扫描DOM XSS漏洞。
项目地址:https://github.com/s0md3v/XSStrike
2. XSStrike工具安装
由于XSStrike只可以运行在python 3.6 以上版本,所以必须使用python3.6版本。
sudo apt-get install python3-pip
git clone https://github.com/s0md3v/XSStrike.git
pip3 install -r requirements.txt
chmod +x xsstrike.py
3. XSStrike帮助信息
在终端中输入 xsstrike -h 或 xsstrike --help
注意:使用命令行工具时,不需要全部记忆参数,只需要熟练或者用到的时候查找即可。
4. XSStrike实例演示
演示代码:
<html>
<?php $n = $_GET[“name”];echo $n;?>
</html>
