项目作者:Buzz2d0
项目地址:https://github.com/Buzz2d0/xssfinder
一、工具介绍
一款基于 chrome headless 的 XSS 漏洞发现工具。它的主要特性有:
1、动态地语义分析网页中的JavaScript源码,Hook关键点,利用污点分析检出 Dom-Based XSS
2、极低的误报率:通过监听浏览器对话框弹出事件等进行验证。
3、启动模式:被动代理, (即将支持主动爬虫扫描)...
4、漏洞通知:dingbot, ...
二、使用方法
1、帮助文档
$ ./xssfinder
NAME:
xssfinder - XSS discovery tool
USAGE:
xssfinder [global options] command [command options] [arguments...]
VERSION:
v0.1.0
COMMANDS:
mitm Passive agent scanning
help, h Shows a list of commands or help for one command
GLOBAL OPTIONS:
--debug, -d enable debug mode (default: false)
--verbose, --vv enable very-verbose mode (default: false)
--notifier-yaml value set notifier yaml configuration file
--outjson set logger output json format (default: false)
--exec value, -e value set browser exec path
--noheadless disable browser headless mode (default: false)
--incognito enable browser incognito mode (default: false)
--proxy value set proxy and all traffic will be routed from the proxy server through
--help, -h show help (default: false)
--version, -v print the version (default: false)
2、mitm 模式
启动被动扫描(中间人)模式,默认监听 127.0.0.1:8222
# 下载并信任证书 http://xssfinder.ca
./xssfinder mitm
3、漏洞通知
notifier.yaml 模版:
dingbot:
token: xxx
secret: xxxx
# --notifier-yaml 指定通知机器人配置
./xssfinder --notifier-yaml notifier.yaml mitm
三、下载地址
1、通过项目地址下载
2、关注微信公众号:web安全工具库,后台回复:20220510
好书推荐
本书综合讲述算法及其数据结构,内容浅显易懂、逻辑严谨,范例丰富、易于学习和掌握,力求兼顾教师教学和学生自学。全书从算法的基本概念开始讲解,接着介绍各个经典的算法,包括分治法、递归法、贪心法、动态规划法、迭代法、枚举法、回溯法等;随后讲述核心的数据结构,即数组、链表、堆栈、队列、树结构、图结构、哈希表等;最后展开阐述不同数据结构上实现的算法,包括排序算法、查找算法、数组和链表相关算法、信息安全基础算法、堆栈和队列相关算法、树结构相关算法、图结构相关算法、人工智能基础算法。本书为每个算法及其数据结构提供演算的详细图解,并为每个经典的算法提供Python语言编写的完整范例程序(包含完整的源代码)。每个范例程序都经过了测试和调试,可以直接在标准的Python语言环境中运行。
原文始发于微信公众号(web安全工具库):XSS漏洞发现工具 -- xssfinder
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论