今天就跟大家聊聊有關(guān)如何使用XSStrike ，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

創(chuàng)新新互聯(lián)，憑借十年的網(wǎng)站設(shè)計、做網(wǎng)站經(jīng)驗，本著真心·誠心服務(wù)的企業(yè)理念服務(wù)于成都中小企業(yè)設(shè)計網(wǎng)站有1000多家案例。做網(wǎng)站建設(shè)，選成都創(chuàng)新互聯(lián)。

簡介

XSStrike是一款檢測Cross Site Scripting的高級檢測工具。它集成了payload生成器、爬蟲和模糊引擎功能。XSStrike不是像其他工具那樣注入有效負(fù)載并檢查其工作，而是通過多個解析器分析響應(yīng)，然后通過與模糊引擎集成的上下文分析來保證有效負(fù)載。除此之外，XSStrike還具有爬行，模糊測試，參數(shù)發(fā)現(xiàn)，WAF檢測功能。它還會掃描DOM XSS漏洞。

特點

反射和DOM XSS掃描

多線程抓取

背景分析

可配置的核心

WAF檢測和規(guī)避

瀏覽器引擎集成為零誤報率

智能負(fù)載發(fā)生器

手工制作的HTML和JavaScript解析器

強(qiáng)大的模糊引擎

支持Blind XSS

完善的工作流程

完整的HTTP支持

來自文件的Bruteforce有效負(fù)載

有效載荷編碼

python編寫

安裝

由于XSStrike只可以運行在python 3.6 以上版本，因此筆者使用parrot來安裝運行這款工具（筆者的舊版Kali 自帶的python 3 版本是3.5的）。

1、給python3安裝pip，使用命令如下：

sudo apt-get install python3-pip

2、下載XSStrike，命令如下：

git clone https://github.com/s0md3v/XSStrike.git

3、安裝依賴模塊，命令如下：

pip3 install -r requirements.txt

4、運行工具，命令如下：

python3 xsstrike.py -u "http://target"

用法

  -h, --help            //顯示幫助信息
  -u, --url             //指定目標(biāo)URL
  --data                //POST方式提交內(nèi)容
  -v, --verbose         //詳細(xì)輸出
  -f, --file            //加載自定義paload字典
  -t, --threads         //定義線程數(shù)
  -l, --level           //爬行深度
  -t, --encode          //定義payload編碼方式
  --json                //將POST數(shù)據(jù)視為JSON
  --path                //測試URL路徑組件
  --seeds               //從文件中測試、抓取URL
  --fuzzer              //測試過濾器和Web應(yīng)用程序防火墻。
  --update              //更新
  --timeout             //設(shè)置超時時間
  --params              //指定參數(shù)
  --crawl               //爬行
  --proxy               //使用代理
  --blind               //盲測試
  --skip                //跳過確認(rèn)提示
  --skip-dom            //跳過DOM掃描
  --headers             //提供HTTP標(biāo)頭
  -d, --delay           //設(shè)置延遲

實例

為了測試該工具的實用性，筆者寫了一個簡單的存在XSS漏洞的PHP文件。筆者為它命名為xss.php文件。

xss.php代碼如下圖：

保存并上傳至筆者自己的服務(wù)器上。    

下圖是通過工具Fuzzing出來的一個payload：

我們利用工具Fuzzing出來的payload進(jìn)行一下測試，測試結(jié)果如下圖所示：

看完上述內(nèi)容，你們對如何使用XSStrike 有進(jìn)一步的了解嗎？如果還想了解更多知識或者相關(guān)內(nèi)容，請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝大家的支持。

當(dāng)前文章：如何使用XSStrike
標(biāo)題URL：http://www.chinadenli.net/article0/joiioo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供云服務(wù)器、做網(wǎng)站、定制網(wǎng)站、網(wǎng)頁設(shè)計公司、服務(wù)器托管、網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)