xssfork-新一代xss探测工具

admin 2020年9月23日10:04:14评论295 views字数 689阅读2分17秒阅读模式

xssfork-新一代xss探测工具

xssfork简介

xssfork作为sicklescan的一个功能模块,其开发主要目的是用于检测xss漏洞。


传统的xss探测工具,一般都是采用 payload in response的方式,即在发送一次带有payload的http请求后,通过检测响应包中payload的完整性来判断,这种方式缺陷,很多。


第一:不能准确地检测dom类xss

第二:用类似于requests之类的库不能真正的模拟浏览器
第三:网页js无法交互


怎么解决?如果能够用浏览器代替这个模块,去自动hook是最好的。所幸,我了解到phantomjs,当然现在google浏览器也支持headless模式,类似的,你也可以采用google浏览器去做检测。

原理


对于这类fuzz过程,基本都是预先准备好一些payload,然后加载执行。对于这类io型密集的扫描模型,后端使用多线程就比较适用,但是由于phantomjs你可以理解为一个无界面的浏览器,在加载的时候,其缺陷也比较明显,比较吃内存,用它来发包自然不像requests库轻量。

基本类型机用法:

post类型  python xssfork.py -u “xx” -d “xx” 
存储型 python xssfork.py -u “xx” -d “xxx” -D 
“输出位置” 带cookie python xssfork.py -u “xx” -c “xx”

文章来源:

http://www.91ri.org/17220.html

xssfork-新一代xss探测工具


推荐文章++++

xssfork-新一代xss探测工具

*BadDNS多层子域名探测的极速工具

*FProbe:一款HTTP/HTTPS服务器快速探测工具

*7kbscan-WebPathBrute Web路径暴力探测工具


xssfork-新一代xss探测工具

xssfork-新一代xss探测工具

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年9月23日10:04:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   xssfork-新一代xss探测工具http://cn-sec.com/archives/140649.html

发表评论

匿名网友 填写信息