1. Toy模板网首页
  2. >Toy博客

xss检测工具XSStrike

1年前作者:wutiangui分类:Toy博客阅读(8)违法举报

这篇具有很好参考价值的文章主要介绍了xss检测工具XSStrike。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、下载安装
下载地址:https://github.com/s0md3v/XSStrike最新版支持python3windows、linux系统都可以运行完成下载之后,进入XSStrike目录:cd XSStrike接下来使用如下命令安装依赖模块:
pip install -r requirements.txt
二、参数说明
-u, --url //指定目标URL
–data //POST方式提交内容
-v, --verbose //详细输出
-f, --file //加载自定义paload字典
-t, --threads //定义线程数
-l, --level //爬行深度
-t, --encode //定义payload编码方式
–json //将POST数据视为JSON
–path //测试URL路径组件
–seeds //从文件中测试、抓取URL
–fuzzer //测试过滤器和Web应用程序防火墙。
–update //更新
–timeout //设置超时时间
–params //指定参数
–crawl //爬行
–proxy //使用代理
–blind //盲测试
–skip //跳过确认提示
–skip-dom //跳过DOM扫描
–headers //提供HTTP标头
-d, --delay //设置延迟
三、使用方法
1.测试一个使用GET方法的网页:
python3 xsstrike.py -u “http://example.com/search.php?q=query”
2.测试POST数据:
python3 xsstrike.py -u “http://example.com/search.php” --data “q=query” python3 xsstrike.py -u “http://example.com/search.php” --data ‘{“q”:“query”} --json’
3.测试URL路径:
python3 xsstrike.py -u “http://example.com/search/form/query” --path
4.从目标网页开始搜寻目标并进行测试
python
3 xsstrike.py -u “http://example.com/page.php” --crawl您可以指定爬网的深度,默认2:
-l python3 xsstrike.py -u “http://example.com/page.php” --crawl -l 3
5.如果要测试文件中的URL,或者只是想添加种子进行爬网,则可以使用该–seeds选项:
python xsstrike.py --seeds urls.txt
6.查找隐藏的参数:
通过解析HTML和暴力破解来查找隐藏的参数python3 xsstrike.py -u “http://example.com/page.php” --params
7.盲XSS:爬行中使用此参数可向每个html表单里面的每个变量插入xss代码
python3 xsstrike.py -u http://example.com/page.php?q=query --crawl --blind
8.模糊测试–fuzzer该模糊器旨在测试过滤器和Web应用程序防火墙,可使用-d选项将延迟设置为1秒。
python3 xsstrike.py -u “http://example.com/search.php?q=query” --fuzzer
9.跳过DOM扫描 在爬网时可跳过DOM XSS扫描,以节省时间
python3 xsstrike.py -u “http://example.com/search.php?q=query” --skip-dom
10.更新:如果跟上–updata选项,XSStrike将检查更新。如果有更新的版本可用,XSStrike将下载更新并将其合并到当前目录中,而不会覆盖其他文件。python3 xsstrike.py --update

实际测试:
这里拿xss-labs做测试
http://127.0.0.1/xss/level4.php?keyword=123&submit=%E6%90%9C%E7%B4%A2
xss检测工具XSStrike,web安全
python xsstrike.py -u http://127.0.0.1/xss/level4.php?keyword=123&submit=%E6%90%9C%E7%B4%A2
执行后会列出可用的xss payload,我们拿Efficiency: 100的payload贴在网页上测试
xss检测工具XSStrike,web安全
它这里一般扫到100的就会停下来,比如这里的"%0dautofocus%0donfOcUs="(confirm)()
贴在网址里发现弹出框了,说明这个工具一定程度还是可用的
xss检测工具XSStrike,web安全文章来源地址https://www.toymoban.com/news/detail-562157.html

到了这里,关于xss检测工具XSStrike的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包赞助服务器费用

相关文章

  • web安全学习日志---xss漏洞(跨站脚本攻击)

    web安全学习日志---xss漏洞(跨站脚本攻击)

      仅执行一次,非持久型。主要存在于攻击者将恶意脚本附加到url的参数中,发送给受害者,服务端未经严格过滤处理而输出在用户浏览器中,导致浏览器执行代码数据。 利用场景: 直接插入JS代码,修改url参数    攻 scriptalert(\\\'hack\\\')/script 防 $name=str_replace(\\\'script\\\', \\\'  \\\',$name

    2024年02月13日
    浏览(48)
  • 网络安全——XSStrike中文手册【自学笔记】

    网络安全——XSStrike中文手册【自学笔记】

    python版本 =3.4 操作系统 Linux (Arch, Debian, Ubnutu), Termux, Windows (7 10), Mac 选项:-u或--url 选项:--data 【一所有资源获取,点击这里一】 1、很多已经买不到的绝版电子书 2、安全大厂内部的培训资料 3、全套工具包 4、100份src源码技术文档 5、网络安全基础入门、Linux、web安全、攻防

    2024年02月07日
    浏览(8)

  • Web 安全之 X-XSS-Protection 详解

    目录 什么是 X-XSS-Protection  XSS 攻击概述 X-XSS-Protection 的值 工作原理 如何设置 X-XSS-Protection 头 示例说明 X-XSS-Protection 局限性 现代替代方案 小结 X-XSS-Protection 是一个旨在启用或配置某些版本的 Internet Explorer、Chrome 和 Safari 的内置跨站脚本 (XSS) 过滤器的 HTTP 响应头,这个过滤器

    2024年02月05日
    浏览(10)

  • 前端面试:【XSS、CSRF、CSP】Web安全的三大挑战

    嗨,亲爱的Web开发者!在构建现代Web应用时,确保应用的安全性至关重要。本文将深入探讨三个常见的Web安全威胁:XSS(跨站脚本攻击)、CSRF(跨站请求伪造攻击)和CSP(内容安全策略),以帮助你了解并应对这些威胁。 1. XSS(跨站脚本攻击): XSS是一种攻击方式,攻击者

    2024年02月11日
    浏览(11)

  • 【web安全】XSS攻击(跨站脚本攻击)如何防范与实现

    目录 XSS介绍 防范要点 实现方法 XSS攻击(跨站脚本攻击)是一种常见的Web安全漏洞,攻击者在Web页面中插入恶意脚本代码,并在受害人访问该页面时执行脚本代码,从而获取用户敏感信息、操作受害人账号或篡改页面内容等不当行为。XSS攻击可以通过输入表单、搜索框、评论

    2024年02月12日
    浏览(10)
  • 常见web安全漏洞-暴力破解,xss,SQL注入,csrf

    常见web安全漏洞-暴力破解,xss,SQL注入,csrf

    1,暴力破解 原理:         使用大量的认证信息在认证接口进行登录认证,知道正确为止。为提高效率一般使用带有字典的工具自动化操作         基于表单的暴力破解 --- 若用户没有安全认证,直接进行抓包破解。 验证码绕过                           on s

    2023年04月12日
    浏览(12)
  • Web 攻防之业务安全:Callback自定义测试(触发XSS漏洞)

    Web 攻防之业务安全:Callback自定义测试(触发XSS漏洞)

    业务安全是指保护业务系统免受安全威胁的措施或手段。 广义 的业务安全应包括业务运行的 软硬件平台 (操作系统、数据库,中间件等)、 业务系统自身 (软件或设备)、 业务所提供的服务安全 ; 狭义 的业务安全指 业务系统自有的软件与服务的安全 。 Callback自定义测

    2023年04月15日
    浏览(12)

  • WEB安全之XSS漏洞与SQL注入漏洞介绍及解决方案

    这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,比较适合初学者观看。 对于防止sql注入发生,我在这里用简单拼接字符串的注入及参数化查询,如果大家对这个系列的内容感兴趣,可以在评论区告诉我! XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者

    2024年02月07日
    浏览(14)

  • 机器学习和深度学习检测网络安全课题资料:XSS、DNS和DGA、恶意URL、webshell

    XSS 机器学习识别XSS实践 使用深度学习检测XSS 使用深度学习检测XSS(续) DNSDGA检测 使用CNN检测DNS隧道 探秘-基于机器学习的DNS隐蔽隧道检测方法与实现 DNS Tunnel隧道隐蔽

    2024年02月02日
    浏览(9)
  • 万字讲解9种Web应用攻击与防护安全。XSS、CSRF、SQL注入等是如何实现的

    万字讲解9种Web应用攻击与防护安全。XSS、CSRF、SQL注入等是如何实现的

    OWASP(开放Web软体安全项目- Open Web Application Security Project) 是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。使命 是使应用软件更加安全,使企业和组织能够对应用安全风险做出更清晰的决策。 http://www.owasp.org.cn/ OWASP在业界影响力: OWASP被视为web应用

    2023年04月15日
    浏览(10)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包