Helios: 自动化XSS风险检测
功能
- • 全面扫描:测试URL参数、POST参数、头信息和DOM内容中的XSS漏洞。
- • 多浏览器支持:兼容Firefox和Chrome进行测试。
- • 无头模式:可选择在无头浏览器模式下运行扫描,以实现快速和传统的执行方式。
- • 并发扫描:利用多线程高效扫描多个目标。
- • 可定制:支持自定义头信息、Cookies和负载文件。
- • 爬虫能力:可以爬取网站以发现并测试其他页面。
- • 详细报告:提供带有颜色编码的终端日志和可选文件输出的全面报告。
- • DOM XSS检测:高级检测基于DOM的XSS漏洞。
- • 负载定制:自动使用唯一标识符定制负载以实现准确检测。
主要功能
- • URL参数测试
- • POST参数分析
- • Header扫描
- • DOM内容检查
- • 外部脚本分析
- • 目标爬取和深度控制
- • 自定义加载支持
- • 精确检测
用法
pip install -r requirements.txt python3 helios.py [target_url] [options]
示例
python3 helios.py target.com -o output.txt --crawl python3 helios.py -l targetlist.txt --payload-file xsspayloads.txt -o output.txt --crawl --headless --cookies "Name=abcdefg" --headers "X-Forwarded For: 127.0.0.1"
使用python helios.py --help获取完整的选项和使用说明。
演示通过在线靶场进行
POST方法XSS
基于DOM的XSS
精确payload检测
下载传送
- • 仓库地址: https://github.com/Stuub/Helios
原文始发于微信公众号(埋藏酱油瓶):【开源工具】——Helios自动化XSS检测
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论