####################
免责声明:工具本身并无好坏,希望大家以遵守《网络安全法》相关法律为前提来使用该工具,支持研究学习,切勿用于非法犯罪活动,对于恶意使用该工具造成的损失,和本人及开发者无关。
####################
Femida-xss (WIP)
一款BurpSuite插件,用于自动化执行blind-xss盲搜索。它能够执行主动和被动检查。
安装
-
git clone https://github.com/wish-i-was/femida.git -
Burp -> Extender -> Add -> find and select blind-xss.py
使用
首先,在名为“Your URL”的字段中设置回调URL,然后按Enter将其自动保存在config.py文件中。
设置好之后,您需要用OOB-XSS向量填充Payloads表,以便扩展程序能够将您的Payloads注入到传出的请求中。请注意,您需要在Payloads中设置{URL}别名,因此扩展名将能够从“Your url”字段中获取数据并将其直接设置为Payloads。
Femida是随机驱动的扩展,因此在主动或被动扫描期间,将在行“Active”中使用带有“ 1”的每个Payloads。因此,如果要从测试中排除任何Payloads或参数/标头,只需将“Active”值更改为0。
Payloads
-
使用
'上传'或'添加'按钮将Payloads添加到表中。 -
不要忘记有效载荷中的
{URL}参数。 -
当您将任何数据添加到表中时,活动行将手动等于
1.(现在表示其活动状态) -
如果要使其不活动-将活动行设置为
0
Headers & Parameters
-
您可以使用添加按钮或在
Target/Proxy/Repeater中单击鼠标右键手动添加数据。 -
headers 和 parameters
不区分大小写。 -
如果要使其不活动-将活动行设置为
0。
原文始发于微信公众号(菜鸟小新):BurpSuite自动化blind-xss插件:Femida-xss
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论