BruteXSS:XSS暴力破解神器

最新推荐文章于 2023-12-12 14:21:36 发布
最新推荐文章于 2023-12-12 14:21:36 发布
阅读量2k 收藏 3
点赞数
分类专栏: # 其他常用工具 【渗透工具】 # 信安文章
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/80945457
版权

BruteXSS简介

BruteXSS是一个非常强大和快速的跨站点脚本暴力注入。它用于暴力注入一个参数。该BruteXSS从指定的词库加载多种有效载荷进行注入并且使用指定的载荷和扫描检查这些参数很容易受到XSS漏洞。得益于非常强大的扫描功能。在执行任务时, BruteXSS是非常准确而且极少误报。 BruteXSS支持POST和GET请求,适应现代Web应用程序。

特点

XSS暴力破解
XSS扫描
支持GET/ POST请求
自定义单词可以包含
人性化的UI

下载与安装

下载地址:https://pan.baidu.com/s/1h3OSQt8EfqciO7ceXTsJ5A

平台要求:Windows 、Linux (需要有Python2.7)

安装前提:

四个攻击载荷

在BruteXSS目录 下,有wordlist.txt,wordlist-samll.txt,wordlist-medium.txt,wordlist-huge.txt 四个攻击载荷

wordlist.txt  ————————约20条常用语句,可以执行一个基本简单的XSS检查

wordlist-samll.txt ——————约100条语句,可以执行一个相对全面的XSS检查

wordlist-medium.txt —————约200条语句,可以执行一个绕过WAF的XSS检查

wordlist-huge.txt ——————  约5000条语句,可以执行一个非常全面的并且绕过WAF的XSS检查

使用小例

以下是运行使用结果截图:


根据所测试的环境的不同,选择不同的wordlist.txt。


FLy_鹏程万里
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
xssor2:XSS'OR-用JavaScript破解
02-19
XSS'OR XSS'OR-使用JavaScript进行入侵。 在线的 您可以尝试: 和 它包含三个主要模块:编码/解码,Codz,探针。 安装 具有Django 3.0。*的Python 3或具有Django 1.11。*的Python 2 git clone 或直接下载 cd xssor2 修改xssor / payload / probe.js xssor . cmd_url = location . protocol + '//xssor.io/cmd' ; // replace xssor.io to your domain or ip address pip3 / pip install -r requirements.txt python3 / python manage.py运行服务器0.0.0.0:8000 浏览器http:// [yourip]:800
OpenRASP xss算法的几种绕过方法
HBohan的博客
07-21 446
openrasp默认只能检测反射型XSS,存储型XSS仅IAST商业版支持。对于反射型xss,openrasp也只能检测可控输出点在html标签外的情况,本文的绕过方法是针对这种情况。如果可控输出点在html标签内,如或 内部,openrasp几乎检测不到。 测试环境 【网安学习资料】 windows / tomcat / jdk1.8 / openrasp 1.3.7-beta 测试环境部署参见https://www.anquanke.com/post/id/241107,或者官网文档。 在offici.
XSS漏洞绕过大法
大河之犬的博客
11-02 1791
如果我们想用表单劫持绕过HTTP Only,那么我们需要把JavaScript脚本插入到系统登录框中。这当然是一个比较麻烦的事情,因为在通常情况下,系统的登录框没有允许类似留言板这样的可以交互的点。当前的浏览器一般都有这个功能,当登录系统时,会询问是否记住用户名和密码,具体方法:借助XSS平台的相关读取用户名密码模块。所以,如果开放了 SVG 上传,那么会存在 XSS安全风险。当浏览器对该编码进行识别时,会翻译成正常的标签,从而执行。标签,但该标签可以被各种编码,后台不一定会过滤。
PIKACHU之XSS破解
qq_53318766的博客
12-20 577
xss跨站脚本漏洞
XSS 前端防火墙 —— 可疑模块拦截
bluesky
06-21 210
上一篇介绍的系统,虽然能防御简单的内联 XSS 代码,但想绕过还是很容易的。       由于是在前端防护,策略配置都能在源代码里找到,因此很快就能试出破解方案。并且攻击者可以屏蔽日志接口,在自己电脑上永不发出报警信息,保证测试时不会被发现。       昨天提到最简单并且最常见的 XSS 代码,就是加载站外的一个脚本文件。对于这种情况,关键字扫描就无能为力了,因为代码可以混淆的千变万化,我们看...
BruteXSS:BruteXSS是用python编写的工具,用于在Web应用程序中查找XSS漏洞。 该工具最初是由Shawar Khan在CLI中开发的。 我刚刚对其进行了重新设计,并使其更易于使用。
04-23
:warning: 该项目已终止。 :warning: BruteXSS BruteXSS是用python编写的工具,用于在Web应用程序中查找XSS漏洞。 该工具最初是由Shawar Khan在CLI中开发的。 我只是重新设计了它,并使其更易于使用。 该工具是使用Python开发的,因此很显然是跨平台的,您只需要在计算机中安装Python。 屏幕截图 脚步 只需下载您的工具并运行brutexss.py(即可提供此工具所需的一切) CLI开发人员:Shawar Khan GUI开发人员:Rajesh Majumdar 我注意到有些人在使用此工具时遇到问题,例如未显示任何结果。建议您更新该工具,并且大多数人不要选择该方法。 给我买杯咖啡 您可以帮助我购买更多的咖啡,这样我就可以继续将咖啡变成代码。
常见web安全漏洞-暴力破解xss,SQL注入,csrf
GaLeng_Yang的博客
02-24 2747
on client --- 在前端进行验证码的校验,这个时候驶入正确的验证码提交,进行抓包后,我们通过修改密码和账号发现我们不需要再对验证码进行修改,从而绕过了验证码,实现暴力破解。--- 攻击者在HTTP请求中注入恶意的SQL代码,服务器使用参数构建数据库SQL命令时,恶意SQL被一起构造,并在数据库中执行。--- 指攻击者通过篡改网页,嵌入恶意脚本程序,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。交互的数据会被存在在数据库里面,永久性存储,一般出现在留言板,注册等页面。
xss绕过方法有哪些?XSS攻击绕过过滤方法技巧分享(xss绕过宝塔)
最新发布
白帽子佳奇的博客
12-12 2992
XSS(跨站脚本攻击)绕过方法是一系列技巧,用来绕过目标网站的安全措施和过滤器,执行恶意的脚本。
XSS攻击的解决方法
weixin_33877092的博客
02-28 774
在我上一篇《前端安全之XSS攻击》文中,并没有把XSS攻击的解决办法说完整,而XSS的攻击又那么五花八门,有没有一招“独孤九剑”能够抗衡,毕竟那么多情况场景,开发人员无法一一照顾过来,而今天通过阅读《白帽子讲Web安全》这本书,对应对方式有了更好的总结,分为两类,一是服务端可以干的事,二是客户端可以干的事。 前提 在说XSS解决方式时,有一个前提。就是同源策略——浏览器的同源策略(浏览器安全的...
BruteXSS进行XSS漏洞扫描
weixin_42021543的博客
10-30 2579
该脚本仅支持python2.7环境 1.如何使用Brute XSS脚本记性XSS漏洞扫描? (1)首先,打开brutexss.py脚本。   (2)其次,选择请求方式,输入P为POST请求方式,输入G为GET请求方式,enter执行后输入要测试的URL。 (3)接着,如果是GET请求方式直接跳到使用字典步骤,而POST请求方式需要输入post类型的参数,点击enter;输入字...
XSSBypass:XSS绕过技术
05-17
XSS绕过 XSS绕过技术,带来乐趣和收益。 尝试使用XSS漏洞逐行绕过Web应用程序安全性XSS过滤器。
调查:XSS攻击Web应用程序-研究论文
05-20
XSS攻击的类型为非持久(或反映)的XSS,持久(或存储的)XSS和基于DOM的漏洞。 跨站点脚本(XSS)漏洞的主要原因是无法清理植入网页中的用户输入。 尽管采用了安全的编码技术并使用了漏洞检测工具,但XSS仍保留在...
第04篇:XSS三重URL编码绕过实例1
08-03
0x01 漏洞实例某次测试中,遇到一个很奇葩的XSS,我们先来加一个双引号,看看输出:如图,可以看到,双引号被转义了,这时候是不是有种想放弃的想法,抱着尝试的状
XSS-Payloads:XSS矢量列表
04-28
XSS有效负载自2015年以来,我一直在从网站,推文,书籍等不同资源中收集XSS矢量/有效载荷清单。 您可以使用它们绕过WAF并查找XSS漏洞,我将尝试尽可能地更新列表。 我收集了大多数文章,并且他们有真正的作者,我不...
突破XSS字符数量限制执行任意JS代码(转)
weixin_30809333的博客
03-23 292
==Ph4nt0m Security Team== Issue 0x03, Phile #0x04 of 0x07 |=---------------------------------------------------------------------------=||=-------------------=[ 突破XSS字符数...
xss绕过字符过滤_技术研究 | 绕过WAF的常见Web漏洞利用分析
weixin_42364539的博客
12-19 240
前言本文以最新版安全狗为例,总结一下我个人掌握的一些绕过WAF进行常见WEB漏洞利用的方法,希望能起到抛砖引玉的效果。如果师傅们有更好的方法,烦请不吝赐教。PS:本文仅用于技术研究与讨论,严禁用于任何非法用途,违者后果自负,作者与平台不承担任何责任测试环境PHPStudy(PHP5.4.45+Apache+MySQL5.5.53)+最新版安全狗(4.0.28330)靶场使用DVWA:ht...
pikachu靶场---爆破+xss
qq_47804678的博客
01-16 290
所以这个验证码的刷新是由server控制的,再次尝试,将登录请求包一直重发,验证码也不会失效。将验证码输入框的class=vcode删除,然后点击提交,我们发现bp直接收到了包,报文里也就没有校验码了。先输入用户名密码和验证码尝试一下,然后在bp中发现如果登录错误,客户端收到响应后就会发出一个刷新请求,得到响应后就刷新了验证码。将payload补写完整,发现可以成功谈你出警告框,说明payload被当做前端代码成功解析,但是重新刷新,页面变回原来状态。还没发出就验证了,所以是前端问题。
【网络安全 --- XSS绕过】xss绕过手法及思路你了解吗?常见及常用的绕过手法了解一下吧
m0_67844671的博客
10-18 818
【网络安全 --- XSS绕过】xss绕过手法及思路你了解吗?常见及常用的绕过手法了解一下吧;你知道xss如何绕过吗?本篇讲述了一些xss常见的绕过手法及技巧,包括双写,大小写绕过,编码绕过等,过来看看吧
Pikachu靶场之暴力破解XSS、CSRF漏洞
Jach1n
02-01 773
Pikachu靶场之暴力破解XSS、CSRF
跨站脚本:WikyBlog XSS漏洞攻击
05-23
跨站脚本(Cross-site scripting,XSS)是一种常见的Web攻击,攻击者通过在受害者的浏览器中执行恶意脚本来窃取用户的信息或控制用户的帐户。 WikyBlog是一个开源的博客系统,存在XSS漏洞。攻击者可以通过在评论或文章内容中注入恶意脚本,从而在受害者访问该页面时执行该脚本,达到攻击的目的。 攻击者可以利用XSS漏洞进行以下攻击: 1. 窃取用户的Cookie等敏感信息。 2. 劫持用户的会话,进行恶意操作。 3. 显示虚假的内容,欺骗用户。 4. 在受害者的浏览器中执行任意JavaScript代码。 要防止XSS攻击,可以采取以下措施: 1. 对输入的数据进行过滤和验证,只允许合法的字符和格式。 2. 对输出的数据进行编码,避免将HTML、JavaScript等代码直接输出到页面。 3. 使用HTTPOnly Cookie,防止JavaScript通过document.cookie获取Cookie信息。 4. 使用CSP(Content-Security-Policy)策略,限制页面加载的资源和可执行的代码。 5. 将敏感的操作(如删除、修改等)限制在需要认证的用户中。 6. 定期更新和修复漏洞,并进行安全审计。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值