XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。现在常见的XSS扫描工具NoXss,XSSFORK,xwaf,还有今天向大伙推荐的tool—XSStrike 和xwaf相比,XSStrike优势在于它有一个payload自动生成器,这对于很多从事渗透工作的老师傅们和干红队的兄弟来说是很香的,而且可以快速的爬虫.....相信很多师傅联想到了xray,是的,确实有点相似,但是相比于前者,它的引擎更强大,同时还可以辅助模糊测试和WAF检测。 dom型 反射型 XSStrike安装与使用安装位置: 用法:xsstrike.py [-h] [-u TARGET] [--data DATA] [-t THREADS] [--seeds SEEDS] [--json] [--path] [--fuzzer] [--update] [--timeout] [--params] [--crawl] [--blind][--skip-dom] [--headers] [--proxy] [-d DELAY] [-e ENCODING] 参数详解: -h, --help show help -u, --url target url --data post data -f, --file load payloads from a file -t, --threads number of threads -l, --level level of crawling -t, --encode payload encoding --json treat post data as json --path inject payloads in the path --seeds load urls from a file as seeds --fuzzer fuzzer --update update --timeout timeout --params find params --crawl crawl --proxy use proxy --blind inject blind xss payloads while crawling --skip skip confirmation dialogue and poc --skip-dom skip dom checking --headers add headers -d, --delay delay between requests 声明:本公众号所分享内容仅用于网安爱好者之间的技术讨论,本公众号及原作者不承担相应的后果 |
|