文章目录
简介:
跨站脚本者是一个自动框架,检测,利用和报告基于Web应用XSS漏洞。它包含几个选项,试图绕过某些过滤器,以及各种特殊的代码注入技术。
用法:
xsser [OPTIONS] [–all |-u |-i |-d (options)|-l ] [-g |-p |-c (options)]
[Request(s)] [Checker(s)] [Vector(s)] [Anti-antiXSS/IDS] [Bypasser(s)] [Technique(s)] [Final Injection(s)] [Reporting] {Miscellaneous}
(一)、Options:
–version 显示程序的版本号
-h, --help 显示帮助信息
-s, --statistics 显示高级显示输出结果
-v, --verbose 激活冗余模式输出结果
--gtk 加载 XSSer GTK 接口
(二)、特别的用法:
你可以选择 Vector(s) 和 Bypasser(s) 结合特殊的用法来注入代码:
–imx=IMX 利用XSS代码植入来创建一个假的图象
–fla=FLASH 利用XSS代码植入来创建一个假的swf
–xst=XST XST - Cross Site Tracing (–xst http(s)😕/host.com)
(三)、选择目标:
至少有一个选择必须被指定来设置来源以获得目标(s)的url。
-u URL, --url=URL 键入目标URL进行分析
-i READFILE 从一个文件中读取URL
-d DORK 利用搜索引擎傻瓜式的搜索URL
–De=DORK_ENGINE 傻瓜式的利用搜索引擎 (bing, altavista,yahoo, baidu, yandex, youdao, webcrawler, ask, etc.查看 dork.py 文件来核对有效的搜索引擎)
(四)、 现测HTTP/HTTPS的连接类型:
These options can be used to specify which para