Python实现XSS扫描

已于 2022-08-05 23:04:15 修改
阅读量1.6k 收藏 13
点赞数 2
分类专栏: Python 文章标签: python xss php
于 2022-08-04 17:06:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YangYubo091699/article/details/126162980
版权

利用Python代码实现XSS检测

import requests


# HTML转换实体字符

def str_html(source):
    result = ""
    for c in source:
        result += '&#x' + hex(ord(c)) + ';'
    return result.replace('0x', '')


# 从响应中检测Payload是否有效

def check_resp(response, payload, type):
    index = response.find(payload)
    prefix = response[index - 2:index - 1]
    if type == 'Normal' and prefix != '=' and index >= 0:
        return True
    elif type == 'Prop' and prefix == '=' and index >= 0:
        return True

    elif type == 'Escape':
        index = response.find(str_html(payload))
        prefix = response[index - 2:index - 1]
        if prefix == '=' and str_html(payload) in response:
            return True

    elif index >= 0 and prefix == '=':
        return True

    return False


# 实现XSS扫描的主功能
def xss_scan(location):
    url = location.split('?')[0]
    param_list = location.split('?')[1].split('&')
    # 此处为XSS的爆破字典,可以自行替换
    with open('./dict/xss_payload.txt') as file:
        payload_list = file.readlines()
    for payload in payload_list:
        type = payload.strip().split(':', 1)[0]
        payload = payload.strip().split(':', 1)[1]
        # 针对HTTP信息的检测
        if type == 'Referer' or type == 'User-Agent' or type == 'Cookie':
            header = {type: payload}
            resp = requests.get(url=url, headers=header)
        elif type == 'Escape':
            params = {}
            for param in param_list:
                key = param.split("=")[0]
                params[key] = str_html(payload)
            resp = requests.get(url=url, params=params)
        else:
            params = {}
            for param in param_list:
                key = param.split("=")[0]
                params[key] = payload
            resp = requests.get(url=url, params=params)
        if check_resp(resp.text, payload, type):
            print(f"此处存在XSS漏洞:{payload}")


if __name__ == '__main__':
    # xss_scan('URL地址')
YikJiang_
关注
专栏目录
Python实现XSS扫描_python xss扫描工具 xsslab,网络安全开发实用必备的几款插件
2401_84424257的博客
04-17 1115
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。# 此处为XSS的爆破字典,可以自行替换。最后就是大家最关心的网络安全面试题板块。
Python编写XSS检测脚本
weixin_45605352的博客
05-29 2809
这里只检测GET型反射型xss,先将url分割,将参数与paylod替换,从页面返回内容中查看是否有paylod语句来判断是否存在反射型XSS import requests payload = [] f = open('payload.txt', 'r') for line in f: payload.append(line.strip()) headers = { "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:
Python-XSSCon一个用python37实现功能强大的XSS扫描工具
08-10
XSSCon: 一个用python 3.7实现功能强大的XSS扫描工具
Python武器库开发-武器库篇之XSS漏洞扫描器(六十一)
最新发布
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
06-19 970
XSS (跨站脚本攻击) 是一种常见的网络安全漏洞,攻击者通过注入恶意的脚本代码来攻击网站。这些脚本代码会被网页解析器执行,从而导致攻击者能够获取用户的敏感信息、控制用户账户、修改网页内容等。允许攻击者注入恶意脚本代码到受害者的浏览器中,从而影响或窃取用户的敏感信息。XSS漏洞可以分为三种类型:存储型XSS:攻击者将恶意代码注入到网站的数据库或其他存储设备中,当用户访问相关页面时,恶意代码会被执行。
pythonxss扫描器的基础开发
kiihuang的博客
03-29 506
针对xss漏洞进行扫描器开发,实际测试中,xss小游戏靶场可以完成前10关,后面关卡使用字典够的话理论上也可以
Python-一个基于burp的反射型xss检测插件
08-10
一个基于burp的反射型xss检测插件
python一百行代码的项目_用python一百行代码实现xss扫描工具
weixin_39918145的博客
12-01 643
1 扫描逻辑程序有两个非并行的逻辑,第一个逻辑是检测dom型xss,第二个逻辑是检测经过后端的xss。在执行两个逻辑之前,程序会先判断目标路径上是否有参数值为空的情况,有则赋为1,比如:baidu.com/?id=99&name=&age=转换成baidu.com/?id=99&name=1&age=1。转换完成后,进入xss检测逻辑部分。第一个逻辑:dom型xss...
Python-XanXSS一个简单的XSS查找工具
08-10
XanXSS一个简单的 XSS 查找工具
毕业设计-基于python漏洞扫描系统毕业设计与实现(源码+数据库+演示视频).zip
07-02
是以Python框架来进行有效的功能模块的搭建,通过以MySQL数据库来进行数据对接,通过核心的端口扫描,输入ip地址后返回扫描的结果,设计端口列表菜单,在端口列表菜单中能够查看到每一项查询过的端口的详细结构信息...
Python脚本实现Web漏洞扫描工具
09-21
### Python脚本实现Web漏洞扫描工具 #### 一、项目背景与目的 本文介绍的是一个由作者在毕业设计阶段开发的Web漏洞扫描工具。该工具主要用于检测常见的Web应用安全漏洞,如SQL注入漏洞、SQL盲注漏洞以及跨站脚本...
基于pythonXSS漏洞检测插件的设计与实现.docx
09-09
基于PythonXSS漏洞检测插件的设计与实现 XSS(Cross-Site Scripting)漏洞是一种常见的Web应用安全漏洞,攻击者可以将恶意脚本注入Web应用中,并在浏览器客户端中执行,给用户造成很恶劣的后果。为了快速解决XSS...
Python-一个Burpsuite插件用于检测隐藏的XSS
08-10
一个Burpsuite插件,用于检测隐藏的XSS
Python-XSSFinder用于检测网站中反射的xss工具
08-10
XSS Finder - 用于检测网站中反射的xss工具
xssScanner-windows-version:python编写的的xss漏洞检测工具,selenium
05-16
xssScanner python编写的的xss漏洞检测工具,selenium 运行环境配置 xssScanner运行系统:windows 64位 开发语言:python 开发工具:pycharm xssScanner运行所需环境如下1-5所示: 1). python 2.7 2). mysql5.6 :执行xssScanner/installer/database.sql创建所需数据库并导入数据 3). firefox 59版本 4). python库: protobuf(3.0.0) mysql-connector-python(2.1.3) lxml(4.2.1) selenium (3.6.0) 5). selenium 火狐浏览器驱动geckodriver 0.20.1 mysql执行database.sql文件,实现数据库的创建和检测数据的导入。 使用说明 2.1 工具使用方
Xssfork - XSS探测工具 -python
06-18
xssfork作为sicklescan的一个功能模块,其开发主要目的是用于检测xss漏洞。 传统的xss探测工具,一般都是采用 payload in response的方式,即在发送一次带有payload的http请求后,通过检测响应包中payload的完整性来判断,这种方式缺陷,很多。
python爬虫器:XSS 检测套件 XSStrike
weixin_34054866的博客
05-07 561
2019独角兽企业重金招聘Python工程师标准>>> ...
python网站安全(一): XSS注入
stripe-python
06-12 1346
使用python详解了XSS注入的预防
W13Scan 漏洞扫描器之XSS插件模块编写示例
tenyuanruby的博客
12-22 369
在上图中可以看到浏览器触发了XSS代码,弹出了cookie值,至此编写XSS检测插件就完成了,当然这个插件还不够完善,有兴趣的可以自己再深入研究~在编写插件之前,我们需要对框架本身的目录结构有一定了解,由于W13Scan本身的文档不是太详细,我自己整理了一下,目录结构图下所示。目录,在目录里面有29个插件,调试的时候不是太方便,我先将其他插件都删除,为了参考插件怎么编写的,我留下一个,如下图所示。本篇文章的XSS插件的编写单纯是为了学习这个框架,所以只支持GET型,了解插件的编写方法和原理即可。
xss漏洞代码
11-16 130
<% //这是ASP的标记str=trim(request("a")) //request对象作用是获取客户端表单中输入的数据response.write str //response也是ASP的一个对象,write是它的一个方法,其作用是往页面中输出//数据,在这里就是在页面中输出strresponse.write "<br>"response.write...
Python+Django实现的漏洞扫描系统开发
“基于Python+Django的漏洞扫描系统设计与实现” 本文主要探讨了一款基于Python和Django框架构建的漏洞扫描系统的开发过程及其重要性。随着互联网的普及,网络中的信息量日益增长,同时也带来了更多的网络安全问题...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值