XSStrike - 可识别并绕过WAF的XSS扫描工具

admin 2022年9月21日12:10:07安全工具评论11 views1559字阅读5分11秒阅读模式

####################
免责声明:工具本身并无好坏,希望大家以遵守《网络安全法》相关法律为前提来使用该工具,支持研究学习,切勿用于非法犯罪活动,对于恶意使用该工具造成的损失,和本人及开发者无关。
####################

XSStrike 高级XSS检测套件

XSStrike是一个XSS脚本探测套件,配备了4个手写解析器,一个智能payloads生成器,一个强大的引擎和一个令人难以置信的快速爬虫工具。和xwaf有相似之处,但又有明显的区别。

XSStrike - 可识别并绕过WAF的XSS扫描工具

XSStrike不像其他工具那样注入XSS并检查它,XSStrike 使用多个解析器分析响应,然后通过与 fuzzing 引擎集成的上下文分析来保证payloads的工作。下面是 XSStrike 生成的payloads的一些例子:

}]};(confirm)()//<A%0aONMouseOvER%0d=%0d[8].find(confirm)>z</tiTlE/><a%0donpOintErentER%0d=%0d(prompt)``>z</SCRiPT/><DETAILs/+/onpoINTERenTEr%0a=%0aa=prompt,a()//

除此之外,XSStrike 还具有爬虫、fuzzing、参数发现和 WAF 检测功能。它还扫描 DOM XSS 漏洞。

XSStrike主要特点

    反射和 DOM XSS 扫描    多线程爬虫    Context分析    可配置的核心    检测和规避 WAF    老旧的 JS 库扫描    智能payload生成器    手工制作的 HTML & JavaScript 解析器    强大的fuzzing引擎    盲打 XSS 支持    高效的工作流    完整的 HTTP 支持    Bruteforce payloads支持    Payload编码

XSStrike截图

domxss

XSStrike - 可识别并绕过WAF的XSS扫描工具

Reflected XSS

XSStrike - 可识别并绕过WAF的XSS扫描工具

XSStrike安装与使用

https://github.com/s0md3v/XSStrike.git
usage: xsstrike.py [-h] [-u TARGET] [--data DATA] [-t THREADS] [--seeds SEEDS] [--json] [--path] [--fuzzer] [--update] [--timeout] [--params] [--crawl] [--blind] [--skip-dom] [--headers] [--proxy] [-d DELAY] [-e ENCODING]
optional arguments: -h, --help show this help message and exit -u, --url target url --data post data -f, --file load payloads from a file -t, --threads number of threads -l, --level level of crawling -t, --encode payload encoding --json treat post data as json --path inject payloads in the path --seeds load urls from a file as seeds --fuzzer fuzzer --update update --timeout timeout --params find params --crawl crawl --proxy use prox(y|ies) --blind inject blind xss payloads while crawling --skip skip confirmation dialogue and poc --skip-dom skip dom checking --headers add headers -d, --delay delay between requests


原文始发于微信公众号(菜鸟小新):XSStrike – 可识别并绕过WAF的XSS扫描工具

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月21日12:10:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  XSStrike - 可识别并绕过WAF的XSS扫描工具 http://cn-sec.com/archives/1309596.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: