BruteXSS:XSS暴力破解

最新推荐文章于 2024-04-22 10:36:02 发布
最新推荐文章于 2024-04-22 10:36:02 发布
阅读量2.1k 收藏
点赞数
分类专栏: Python 网站安全

BruteXSS——跨站脚本暴力破解
作者:Shawar Khan
BruteXSS项目由Netsparker赞助和支持Web应用程序安全扫描器
免责声明:我不负责任何使用这个工具的非法行为,这个工具只能用于教育目的和渗透测试。
兼容性:Windows、Linux或任何设备运行python 2.7版本
所需模块:
Colorama: https://pypi.python.org/pypi/colorama/
Mechanize: https://pypi.python.org/pypi/mechanize/
描述
BruteXSS是一个非常强大和快速的跨站点脚本暴力注入。它用于暴力注入一个参数。该BruteXSS从指定的词库加载多种有效载荷进行注入并且使用指定的载荷和扫描检查这些参数很容易受到XSS漏洞。得益于非常强大的扫描功能。在执行任务时, BruteXSS是非常准确而且极少误报。 BruteXSS支持POST和GET请求,适应现代Web应用程序。
特点
XSS暴力破解
XSS扫描
支持GET/ POST请求
自定义单词可以包含
人性化的UI
下载地址:https://github.com/ym2011/penetration/tree/master/BruteXSS

最低0.47元/天 解锁文章
南迁
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS漏洞(xss_and_mysql_file靶场实战)——渗透day10
qq_62716256的博客
09-07 1988
XSS漏洞(xss_and_mysql_file靶场实战)——day10
XSS攻击绕过方法大全,XSS攻击技巧,收集100种绕过方法分享(2024最新)
白帽黑客八哥的博客
12-12 4278
尽管许多网站实施了输入过滤措施来防止跨站脚本(XSS)攻击,但在特定条件下,经过精心编码的脚本仍有可能实施XSS注入。本文旨在为专业的安全测试人员提供一个跨站脚本漏洞的检测指南。
XSS、CSRF、SSRF、暴力破解
qq_51780583的博客
08-10 736
XSS、CSRF、SSRF、暴力破解
XSS 检测神器:BruteXSS 保姆级教程
最新发布
Flag少侠的博客
04-22 1255
工具允许用户使用自定义的XSS攻击载荷进行测试。用户可以定义不同类型的XSS攻击载荷,并将它们注入到Web应用程序中以执行恶意代码。
Pikachu靶场之暴力破解XSS、CSRF漏洞
Jach1n
02-01 804
Pikachu靶场之暴力破解XSS、CSRF
brutexss安装使用教程
stars的博客
09-13 2495
文章目录简介安装使用 简介 BruteXSS是一个非常强大和快速的跨站点脚本暴力注入。它用于暴力注入一个参数。该BruteXSS从指定的词库加载多种有效载荷进行注入并且使用指定的载荷和扫描检查这些参数很容易受到XSS漏洞。得益于非常强大的扫描功能。在执行任务时, BruteXSS是非常准确而且极少误报。 BruteXSS支持POST和GET请求,适应现代Web应用程序。 特点: XSS暴力破解 XSS扫描 支持GET/ POST请求 自定义单词可以包含 人性化的UI 安装 下载brutexss brutex
XSSBypass:XSS绕过技术
05-17
XSS绕过 XSS绕过技术,带来乐趣和收益。 尝试使用XSS漏洞逐行绕过Web应用程序安全性XSS过滤器。
xssor2:XSS'OR-用JavaScript破解
02-19
XSS'OR XSS'OR-使用JavaScript进行入侵。 在线的 您可以尝试: 和 它包含三个主要模块:编码/解码,Codz,探针。 安装 具有Django 3.0。*的Python 3或具有Django 1.11。*的Python 2 git clone 或直接下载 cd ...
第04篇:XSS三重URL编码绕过实例1
08-03
0x01 漏洞实例某次测试中,遇到一个很奇葩的XSS,我们先来加一个双引号,看看输出:如图,可以看到,双引号被转义了,这时候是不是有种想放弃的想法,抱着尝试的状
调查:XSS攻击Web应用程序-研究论文
05-20
XSS攻击的类型为非持久(或反映)的XSS,持久(或存储的)XSS和基于DOM的漏洞。 跨站点脚本(XSS)漏洞的主要原因是无法清理植入网页中的用户输入。 尽管采用了安全的编码技术并使用了漏洞检测工具,但XSS仍保留在...
xsstry:xss漏洞利用平台
06-10
xsstry xss 漏洞利用平台 xss 漏洞利用平台
XSS攻击原理和解决方法
芦金宇的专栏
09-23 1198
概述 XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大敌。 ...
BruteXSSXSS暴力破解神器
Fly_鹏程万里
07-07 2118
BruteXSS简介BruteXSS是一个非常强大和快速的跨站点脚本暴力注入。它用于暴力注入一个参数。该BruteXSS从指定的词库加载多种有效载荷进行注入并且使用指定的载荷和扫描检查这些参数很容易受到XSS漏洞。得益于非常强大的扫描功能。在执行任务时, BruteXSS是非常准确而且极少误报。 BruteXSS支持POST和GET请求,适应现代Web应用程序。特点XSS暴力破解 XSS扫描 支持...
Xss攻击测试
{竹子}
07-20 1085
1.下载 链接:https://pan.baidu.com/s/1BrYxwXHGZw8cLPnWHpWAIw 提取码:nj20 2.安装 1)安装python-2.7.12.msi 2)解压BruteXSS-1-master.zip,解压就可用 3.使用 双击执行brutexss.py 3.1.选择请求方式 请求方式有get/post 输入:p 3.2.输入请求url 输入测试的url 3.3.输入请求参数 输入请求参数 3.4.输入攻击字典列表 输入攻击字典列表文件,默认wordlist.tx
web漏洞利用---XSS注入攻击
m0_65129142的博客
12-20 5367
XSS漏洞简介 XSS注入漏洞又称为"跨站脚本攻击(Cross Site Scripting)",为了不和层叠样式表(Cascading Style Sheets,CSS)混淆,所以将跨站脚本攻击缩写为XSSXSS注入攻击的原理其实和SQL注入攻击的原理很相似,攻击者将恶意的Script代码插入到网页中,当正常用户浏览该页面时,被嵌入的恶意Script代码就会被执行,从而达到恶意攻击正常用户的目的。 XSS分类 跨站脚本注入漏洞是由于WEB服务器读取了用户可控数据输出到HTML页面的过程中没有进行安全处理
Linux下暴力破解工具Hydra详解
GodLaughing
10-09 2573
Syntax # hydra [[[-l LOGIN|-L FILE] [-p PASS|-P FILE]] | [-C FILE]] [-e ns] [-o FILE] [-t TASKS] [-M FILE [-T TASKS]] [-w TIME] [-f] [-s PORT] [-S] [-vV] server service [OPT] -R 继续从上一次进度接着破解
XSS完全解决方案
weixin_30609287的博客
01-18 166
xss 为什么不能阻止用户输入不安全数据 比如用户想发一篇标题的文章 1+1>2吗? 为什么不在数据库存的时候就处理好或者接口里处理好 1<2 会被转义为 1&lt;2,放到html中确实可以正常显示为 1<2,但如果要把它alert出来就还是1&lt;2 什么是xss xss是一种注入 用户将自己的html代码注入到我们的html中 类似SQL注入 这是一...
存储型xss_微软旗下协同平台Azure DevOps的存储型XSS漏洞(绕过CSP)
weixin_39545329的博客
12-08 188
最近,微软启动了一个针对Azure DevOps的漏洞悬赏计划。在一个新的应用上找漏洞总是如此的吸引人。让我们开始吧!我们的目标是https://dev.azure.com,这是一个由Microsoft开发的Git的web服务器。我在其中的markdown编辑器中发现了一个XSS漏洞。当你创建一个Git的pull请求时,可以使用markdown添加一些注释。而由于网站markdown的渲染未能转义...
hydra 破解ssh 163邮箱
mixboot
01-12 9163
1.hydra 破解ssh 系统环境 # cat /etc/os-release AME="Kali GNU/Linux" ID=kali VERSION="2017.3" VERSION_ID="2017.3" ID_LIKE=debian 解压字典 # gunzip /usr/share/wordlists/rockyou.txt.gz nmap 扫描端口 扫描开放端口22 ssh软
Python实现web漏洞扫描功能,漏洞包括:xss漏洞、SQL注入、XXE漏洞、文件包含漏洞、文件上传漏洞、文件下载漏洞、CSRF漏洞等, 功能包括:基础的IP扫描、端口扫描、暴力破解、后台扫描、域名扫描等,每扫描出一个漏洞,输出漏洞信息
06-10
实现这样的功能需要使用一些第三方库。以下是一个简单的示例代码: ```python import requests import re # 定义常量 USER_AGENT = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3" TIMEOUT = 3 # 定义漏洞检测函数 def check_xss(url): payload = "<script>alert('xss');</script>" r = requests.get(url + payload, headers={"User-Agent": USER_AGENT}, timeout=TIMEOUT) if payload in r.text: print("[+] Found XSS vulnerability: " + url) def check_sqli(url): payload = "1' and 1=1 union select 1,2,3" r = requests.get(url + "?id=" + payload, headers={"User-Agent": USER_AGENT}, timeout=TIMEOUT) if "1,2,3" in r.text: print("[+] Found SQLi vulnerability: " + url) def check_xxe(url): payload = """<!DOCTYPE foo [<!ELEMENT foo ANY><!ENTITY xxe SYSTEM "file:///etc/passwd">]> <foo>&xxe;</foo>""" r = requests.post(url, data=payload, headers={"User-Agent": USER_AGENT}, timeout=TIMEOUT) if "root:" in r.text: print("[+] Found XXE vulnerability: " + url) # 其他漏洞检测函数类似 # 定义扫描函数 def scan(url): try: r = requests.get(url, headers={"User-Agent": USER_AGENT}, timeout=TIMEOUT) if r.status_code == 200: check_xss(url) check_sqli(url) check_xxe(url) # 其他漏洞检测函数调用类似 except Exception as e: print("[-] Failed to connect to " + url) print(e) # 定义IP、端口扫描函数 def scan_ports(ip, ports): for port in ports: url = "http://" + ip + ":" + str(port) scan(url) # 定义后台、域名扫描函数 def scan_site(site): urls = [site + "/admin", site + "/wp-admin", site + "/manage", site + "/login", site + "/admin.php"] for url in urls: scan(url) # 域名扫描代码类似 # 调用扫描函数 scan("http://example.com") scan_ports("127.0.0.1", [80, 8080, 443]) scan_site("http://example.com") ``` 需要注意的是,这只是一个简单的示例代码,实际应用中还需要考虑很多细节和安全问题。建议使用现成的漏洞扫描工具,或者在专业人士指导下进行开发。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值