XSStrike在kali linux上的安装与简单使用-泓源视野

XSStrike在kali linux上的安装与简单使用

XSStrike在kali linux上的安装与简单使用

XSStrike是一款检测Cross Site Scripting的高级检测工具。它集成了payload生成器、爬虫和模糊引擎功能。XSStrike不是像其他工具那样注入有效负载并检查其工作,而是通过多个解析器分析响应,然后通过与模糊引擎集成的上下文分析来保证有效负载。除此之外,XSStrike还具有爬行,模糊测试,参数发现,WAF检测功能。它还会扫描DOM XSS漏洞。

项目地址:https://github.com/s0md3v/XSStrike

XSStrike只可以运行在python 3.6 以上版本。

2.工具安装:

sudo apt-get install python3-pip
git clone https://github.com/s0md3v/XSStrike.gitcd XSStrike
pip3 install -r requirements.txtchmod +x xsstrike.py

3.查看帮助信息:

./xsstrike.py -h或者./xsstrike.py --help

4.这里做一个简单的实验,写一个xss.php放入/var/www/html目录下,并启动apache2(service apache2 start):

<html>
<?php
    $n = $_GET['payload'];
    echo $n;
?>
</html>

使用XSStrike工具进行探测:

XSStrike在kali linux上的安装与简单使用插图

输入y会继续探测,输入n会停止探测,再将payload插入url即可。

5.测试方法:

测试一个GET型页面:

./xsstrike.py -u "url"

测试POST:

./xsstrike.py -u "url" --data 'payload=1'

从目标网页开始搜寻目标并进行测试:

./xsstrike.py -u "url" --crawl
也可以指定深度:-l (默认是2)./xsstrike.py -u "url" --crawl -l 2

更新

./xsstrike.py --update

总的来说,XSStrike的命令参数不多,通过查看帮助信息,可以很好的了解并熟悉。

本文由 泓源视野 作者:admin 发表,其版权均为 泓源视野 所有,文章内容系作者个人观点,不代表 泓源视野 对观点赞同或支持。如需转载,请注明文章来源。
7

发表评论

Protected with IP Blacklist CloudIP Blacklist Cloud
您是第8237984 位访客, 您的IP是:[54.81.61.14]