0x01の概要
XSStrikeを検出するために使用するスクリプトで、XSSの脆弱性を悪用します
XSStrikeは現在、製品の機能を提供します。
適切なペイロードパラメータファジングを構築した後
パラメータ網羅試合を使用してペイロード
内蔵機能の爬虫類
検出とバイパスWAFにしよう
GETとPOSTメソッドの両方
ペイロードのほとんどは、慎重に、著者によって構築されています
低誤警報率
0x02のダウンロードとインストール
ダウンロード:https://github.com/s0md3v/XSStrike
最新バージョンのサポートののpython3
WindowsやLinuxシステムを実行することができます
ダウンロードが完了したら、XSStrikeカタログを入力します。
cd XSStrike
次に、以下のコマンドモジュールは信頼をマウント:
pip install -r requirements.txt
0x03を使用
1.テストGETメソッドを使用してWebページ:
python3 xsstrike.py -u " http://example.com/search.php?q=query "
2.テストPOSTデータ:
python3 xsstrike.py -u " http://example.com/search.php " --data " Q =クエリ"
のpython3 xsstrike.py -u "http://example.com/search.php" --data " { "Q": "クエリ"} --json」
3.テストURLパス:
python3 xsstrike.py -u " http://example.com/search/form/query " --path
検索対象のランディングページの先頭とテスト4.
python3 xsstrike.py -u " http://example.com/page.php " --crawl
-l:デフォルト2をクロールする方法を深く指定することができます
python3 xsstrike.py -u "http://example.com/page.php" --crawl -l 3
あなたは、ファイルのURLをテストしたい、または単にクロールに種を追加したい場合5.は、この使用することができます--seeds
オプションを:
パイソンxsstrike.py --seeds urls.txt
隠されたパラメータを探す6.:
構文解析HTMLやブルートフォースによって隠されたパラメータを見つけるには
python3 xsstrike.py -u " http://example.com/page.php " --params
7.ブラインドXSS:各HTMLフォームに各変数にXSSコードを挿入するために使用して、このパラメータをクリーピング
python3 xsstrike.py -u http://example.com/page.php?q=query --crawl --blind
8.ファジング--fuzzer
ぼかしフィルターとWebアプリケーションファイアウォールをテストするために設計されていますが、あなたが使用できる-d
オプションを1秒に遅延します。
python3 xsstrike.py -u " http://example.com/search.php?q=query " --fuzzer
9.スキップスキャンDOM
クロールスキップ可能なDOM XSSは、時間を節約するためにスキャンする場合
python3 xsstrike.py -u " http://example.com/search.php?q=query " --skip-DOM
10.アップデート:
あなたは--updataオプションについていく場合は、XSStrikeは、アップデートをチェックします。新しいバージョンが利用可能な場合、XSStrikeは、アップデートをダウンロードし、他のファイルを上書きすることなく、現在のディレクトリにそれを組み込む予定。
python3 xsstrike.py --update