基于Python的XSS測(cè)試工具XSStrike使用方法

更新時(shí)間：2017年07月29日 17:30:30 作者：鳶尾

XSS（Cross Site Scripting，跨站腳本攻擊）是一類特殊的Web客戶端腳本注入攻擊手段，通常指攻擊者通過“HTML注入”篡改了網(wǎng)頁，插入惡意的腳本，從而在用戶瀏覽網(wǎng)頁時(shí)控制瀏覽器的一種攻擊。

簡(jiǎn)介

XSStrike 是一款用于探測(cè)并利用XSS漏洞的腳本

XSStrike目前所提供的產(chǎn)品特性：

對(duì)參數(shù)進(jìn)行模糊測(cè)試之后構(gòu)建合適的payload

使用payload對(duì)參數(shù)進(jìn)行窮舉匹配

內(nèi)置爬蟲功能

檢測(cè)并嘗試?yán)@過WAF

同時(shí)支持GET及POST方式

大多數(shù)payload都是由作者精心構(gòu)造

誤報(bào)率極低

debian及kali系統(tǒng)可直接下載本.deb安裝包

通用安裝方法

使用如下命令進(jìn)行下載：

git clone https://github.com/UltimateHackers/XSStrike/

完成下載之后，進(jìn)入XSStrike目錄：

cd XSStrike

接下來使用如下命令安裝依賴模塊：

pip install -r requirements.txt

完成安裝，使用如下命令即可運(yùn)行XSStrike：

python xsstrike

注意：本腳本僅支持Python 2.7

使用說明

這時(shí)便可以鍵入目標(biāo)URL，但請(qǐng)通過插入”d3v<”以標(biāo)記最重要的參數(shù)

例如：target.com/search.php?q=d3v&category=1

鍵入目標(biāo)URL之后，XSStrike將檢測(cè)該目標(biāo)是否有WAF保護(hù)，如果不受WAF保護(hù)你將看到下面4個(gè)選項(xiàng)

1. Fuzzer: 檢測(cè)輸入內(nèi)容是如何在網(wǎng)頁下進(jìn)行反映的，之后據(jù)此嘗試構(gòu)建payload

2. Striker: 對(duì)所有參數(shù)逐一進(jìn)行窮舉匹配，并在瀏覽器窗口中生成POC

3. Spider: 提取目標(biāo)頁面上所有存在的鏈接，并對(duì)這些鏈接進(jìn)行XSS測(cè)試

4. Hulk: 使用了一種不同尋常的方式，直接無視掉輸入所對(duì)應(yīng)的網(wǎng)頁內(nèi)容變化。其有一個(gè) polyglots 列表以及可靠的payload，它會(huì)逐一在目標(biāo)參數(shù)中鍵入并在瀏覽器窗口中打開這些組合URL

XSStrike同樣也可以繞過WAF

XSStrike 也支持 POST 方式

你也可向 XSStrike 提供 cookies

與其他使用蠻力算法的程序不同，XSStrike有著少而精的payload，其中大多數(shù)都是由作者精心構(gòu)造的。

您可能感興趣的文章:

XSStrike

相關(guān)文章

python 打印對(duì)象的所有屬性值的方法
下面小編就為大家?guī)硪黄猵ython 打印對(duì)象的所有屬性值的方法。小編覺得挺不錯(cuò)的，現(xiàn)在就分享給大家，也給大家做個(gè)參考。一起跟隨小編過來看看吧
2016-09-09
pyecharts繪制時(shí)間輪播圖柱形圖+餅圖+玫瑰圖+折線圖
這篇文章主要介紹了pyecharts繪制時(shí)間輪播圖柱形圖+餅圖+玫瑰圖+折線圖,文章圍繞主題展開詳細(xì)的內(nèi)容介紹，具有一定的參考價(jià)值，感興趣的小伙伴可以參考一下
2022-06-06
淺談Tensorflow加載Vgg預(yù)訓(xùn)練模型的幾個(gè)注意事項(xiàng)
這篇文章主要介紹了淺談Tensorflow加載Vgg預(yù)訓(xùn)練模型的幾個(gè)注意事項(xiàng)說明，具有很好的參考價(jià)值，希望對(duì)大家有所幫助。一起跟隨小編過來看看吧
2020-05-05
Python機(jī)器學(xué)習(xí)入門(三)之Python數(shù)據(jù)準(zhǔn)備
這篇文章主要介紹了Python機(jī)器學(xué)習(xí)入門知識(shí)，本文給大家介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值，需要的朋友可以參考下
2021-08-08
Python+Selenium自動(dòng)化實(shí)現(xiàn)分頁（pagination）處理
這篇文章主要為大家詳細(xì)介紹了Python+Selenium自動(dòng)化實(shí)現(xiàn)分頁pagination處理的方法，具有一定的參考價(jià)值，感興趣的小伙伴們可以參考一下
2017-03-03
Python打包可執(zhí)行文件的方法詳解
這篇文章主要介紹了Python打包可執(zhí)行文件的方法,結(jié)合實(shí)例形式分析了Python基于py2exe及PyInstall等打包生成可執(zhí)行文件的相關(guān)技巧,需要的朋友可以參考下
2016-09-09
教你Pycharm安裝使用requests第三方庫的詳細(xì)教程
PyCharm安裝第三方庫是十分方便的，無需pip或其他工具，平臺(tái)就自帶了這個(gè)功能而且操作十分簡(jiǎn)便，今天通過本文帶領(lǐng)大家學(xué)習(xí)Pycharm安裝使用requests第三方庫的詳細(xì)教程，感興趣的朋友一起看看吧
2021-07-07
Python OpenCV去除字母后面的雜線操作
這篇文章主要介紹了Python OpenCV去除字母后面的雜線操作，具有很好的參考價(jià)值，希望對(duì)大家有所幫助。一起跟隨小編過來看看吧
2020-07-07
Tensorflow2.4使用Tuner選擇模型最佳超參詳解
這篇文章主要介紹了Tensorflow2.4使用Tuner選擇模型最佳超參詳解,有需要的朋友可以借鑒參考下，希望能夠有所幫助，祝大家多多進(jìn)步，早日升職加薪
2022-11-11
python re.match函數(shù)的具體使用
本文主要介紹了python re.match函數(shù)的具體使用，文中通過示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
2023-02-02