=================
免责声明:希望大家以遵守《网络安全法》相关法律,本团队发表此文章仅用于研究学习,切勿用于非法犯罪活动,对于恶意使用该工具造成的损失,和本团队无关。
=================
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。现在常见的XSS扫描工具NoXss,XSSFORK,xwaf,还有今天向大伙推荐的两款工具。
一、XSStrike
和xwaf相比,XSStrike优势在于它有一个payload自动生成器,这对于很多从事渗透工作的老师傅们和干红队的兄弟来说是很香的,而且可以快速的爬虫.....相信很多师傅联想到了xray,是的,确实有点相似,但是相比于前者,它的引擎更强大,同时还可以辅助模糊测试和WAF检测。
dom型
反射型
XSStrike安装与使用
安装位置:
https://github.com/s0md3v/XSStrike.git
用法:
xsstrike.py [-h] [-u TARGET] [--data DATA] [-t THREADS] [--seeds SEEDS] [--json] [--path] [--fuzzer] [--update] [--timeout] [--params] [--crawl] [--blind][--skip-dom] [--headers] [--proxy] [-d DELAY] [-e ENCODING]
参数详解:-h, --help show help
-u, --url target url
--data post data
-f, --file load payloads from a file
-t, --threads number of threads
-l, --level level of crawling
-t, --encode payload encoding
--json treat post data as json
--path inject payloads in the path
--seeds load urls from a file as seeds
--fuzzer fuzzer
--update update
--timeout timeout
--params find params
--crawl crawl
--proxy use proxy
--blind inject blind xss payloads while crawling
--skip skip confirmation dialogue and poc
--skip-dom skip dom checking
--headers add headers
-d, --delay delay between requests
二、BruteXSS
BruteXSS是一个用Python编写的工具,仅用于查找Web应用程序中的XSS漏洞。此工具最初由Shawar Khan在CLI中开发。我只是重新设计了它,并使其图形用户界面更方便。
只需下载您的工具并运行brutexss.py(此工具所需的一切都提供给它)
下载地址:https://github.com/rajeshmajumdar/BruteXSS