XSStrike在kali linux上的安装与简单使用

XSStrike在kali linux上的安装与简单使用
XSStrike是一款检测Cross Site Scripting的高级检测工具。它集成了payload生成器、爬虫和模糊引擎功能。XSStrike不是像其他工具那样注入有效负载并检查其工作,而是通过多个解析器分析响应,然后通过与模糊引擎集成的上下文分析来保证有效负载。除此之外,XSStrike还具有爬行,模糊测试,参数发现,WAF检测功能。它还会扫描DOM XSS漏洞。
项目地址:https://github.com/s0md3v/XSStrike
XSStrike只可以运行在python 3.6 以上版本。
2.工具安装:
sudo apt-get install python3-pip git clone https://github.com/s0md3v/XSStrike.gitcd XSStrike pip3 install -r requirements.txtchmod +x xsstrike.py
3.查看帮助信息:
./xsstrike.py -h或者./xsstrike.py --help
4.这里做一个简单的实验,写一个xss.php放入/var/www/html目录下,并启动apache2(service apache2 start):
<html> <?php $n = $_GET['payload']; echo $n; ?> </html>
使用XSStrike工具进行探测:
输入y会继续探测,输入n会停止探测,再将payload插入url即可。
5.测试方法:
测试一个GET型页面:
./xsstrike.py -u "url"
测试POST:
./xsstrike.py -u "url" --data 'payload=1'
从目标网页开始搜寻目标并进行测试:
./xsstrike.py -u "url" --crawl 也可以指定深度:-l (默认是2)./xsstrike.py -u "url" --crawl -l 2
更新
./xsstrike.py --update
总的来说,XSStrike的命令参数不多,通过查看帮助信息,可以很好的了解并熟悉。