项目作者:Buzz2d0
项目地址:https://github.com/Buzz2d0/xssfinder
一、工具介绍
一款基于 chrome headless 的 XSS 漏洞发现工具。它的主要特性有:
1、动态地语义分析网页中的JavaScript源码,Hook关键点,利用污点分析检出 Dom-Based XSS
2、极低的误报率:通过监听浏览器对话框弹出事件等进行验证。
3、启动模式:被动代理, (即将支持主动爬虫扫描)...
4、漏洞通知:dingbot, ...
二、使用方法
1、帮助文档
$ ./xssfinderNAME:xssfinder - XSS discovery toolUSAGE:xssfinder [global options] command [command options] [arguments...]VERSION:v0.1.0COMMANDS:mitm Passive agent scanninghelp, h Shows a list of commands or help for one commandGLOBAL OPTIONS:--debug, -d enable debug mode (default: false)--verbose, --vv enable very-verbose mode (default: false)--notifier-yaml value set notifier yaml configuration file--outjson set logger output json format (default: false)--exec value, -e value set browser exec path--noheadless disable browser headless mode (default: false)--incognito enable browser incognito mode (default: false)--proxy value set proxy and all traffic will be routed from the proxy server through--help, -h show help (default: false)--version, -v print the version (default: false)
2、mitm 模式
启动被动扫描(中间人)模式,默认监听 127.0.0.1:8222# 下载并信任证书 http://xssfinder.ca./xssfinder mitm
3、漏洞通知
notifier.yaml 模版:dingbot:token: xxxsecret: xxxx# --notifier-yaml 指定通知机器人配置./xssfinder --notifier-yaml notifier.yaml mitm
三、下载地址
1、通过项目地址下载
2、关注微信公众号:web安全工具库,后台回复:20220510
好书推荐
本书综合讲述算法及其数据结构,内容浅显易懂、逻辑严谨,范例丰富、易于学习和掌握,力求兼顾教师教学和学生自学。全书从算法的基本概念开始讲解,接着介绍各个经典的算法,包括分治法、递归法、贪心法、动态规划法、迭代法、枚举法、回溯法等;随后讲述核心的数据结构,即数组、链表、堆栈、队列、树结构、图结构、哈希表等;最后展开阐述不同数据结构上实现的算法,包括排序算法、查找算法、数组和链表相关算法、信息安全基础算法、堆栈和队列相关算法、树结构相关算法、图结构相关算法、人工智能基础算法。本书为每个算法及其数据结构提供演算的详细图解,并为每个经典的算法提供Python语言编写的完整范例程序(包含完整的源代码)。每个范例程序都经过了测试和调试,可以直接在标准的Python语言环境中运行。
原文始发于微信公众号(web安全工具库):XSS漏洞发现工具 -- xssfinder
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论