Xsser是一个可命令行也可图形化的工具,集成了大量绕过服务器过滤机制的方法。下面就直接上命令了~
基本命令用法:
以DVWA的Xss反射型漏洞为例:
xsser -u "http://10.10.10.137/dvwa/vulnerabilities/" -g "xss_r/?name=" --cookie="security=low; PHPSESSID=eebf20b02ae571c422cf8cd3ec3ac81e" -s -v --reverse-check
-u:URL地址(主要部分,前面)
-g/-p:GET或者POST方法(后面写url后半部分的内容)
--cookie:若当前需要身份认证才能访问的需要用到该参数
-s:提交请求的数量的统计
-v:显示详细信息
--reverse-check:基于反向连接是否被建立来检测是否存在漏洞,更准确
结果中可看到弹出以下页面,即说明反向连接成功: