反射和 DOM XSS 扫描多线程抓取上下文分析可配置核心WAF的检测与规避扫描过时的 JS 库智能有效载荷发生器手工制作的 HTML 和 JavaScript 解析器强大的模糊测试引擎有效载荷编码
使用
GET包:
python3 xsstrike.py -u "URL"登录后测试需添加Cookie,使用如下命令:python3 xsstrike.py -u "URL" --headers "Cookie: xxxxx"Cookie:后面记得接一个空格
POST包
python3 xsstrike.py -u "URL" --data"xxxx"data值为抓包的字段,如:"username,password"等;登录后测试需添加Cookie,使用如下命令:python3 xsstrike.py -u "URL" --data"xxxx" --headers "Cookie: xxxxx"Cookie:后面记得接一个空格
更多命令
usage: xsstrike.py [-h] [-u TARGET] [--data PARAMDATA] [-e ENCODE] [--fuzzer] [--update] [--timeout TIMEOUT] [--proxy][--params] [--crawl] [--json] [--path] [--seeds ARGS_SEEDS] [-f ARGS_FILE] [-l LEVEL][--headers [ADD_HEADERS]] [-t THREADCOUNT] [-d DELAY] [--skip] [--skip-dom] [--blind][--console-log-level {DEBUG,INFO,RUN,GOOD,WARNING,ERROR,CRITICAL,VULN}][--file-log-level {DEBUG,INFO,RUN,GOOD,WARNING,ERROR,CRITICAL,VULN}] [--log-file LOG_FILE]options:-h, --help show this help message and exit-u TARGET, --url TARGETurl--data PARAMDATA post data-e ENCODE, --encode ENCODEencode payloads--fuzzer fuzzer--update update--timeout TIMEOUT timeout--proxy use prox(y|ies)--params find params--crawl crawl--json treat post data as json--path inject payloads in the path--seeds ARGS_SEEDS load crawling seeds from a file-f ARGS_FILE, --file ARGS_FILEload payloads from a file-l LEVEL, --level LEVELlevel of crawling--headers [ADD_HEADERS]add headers-t THREADCOUNT, --threads THREADCOUNTnumber of threads-d DELAY, --delay DELAYdelay between requests--skip don't ask to continue--skip-dom skip dom checking--blind inject blind XSS payload while crawling--console-log-level {DEBUG,INFO,RUN,GOOD,WARNING,ERROR,CRITICAL,VULN}Console logging level--file-log-level {DEBUG,INFO,RUN,GOOD,WARNING,ERROR,CRITICAL,VULN}File logging level--log-file LOG_FILE Name of the file to log
更详细功能使用可以访问项目地址查看:
https://github.com/s0md3v/XSStrike知识星球
原文始发于微信公众号(CatalyzeSec):【工具推荐】XSS 扫描器-XSStrike
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论