探索DOM型XSS漏洞的利器——FinDOM-XSS

最新推荐文章于 2024-09-03 08:16:22 发布
最新推荐文章于 2024-09-03 08:16:22 发布
阅读量479 收藏 8
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00032/article/details/139018299
版权

探索DOM型XSS漏洞的利器——FinDOM-XSS

findom-xssA fast DOM based XSS vulnerability scanner with simplicity.项目地址:https://gitcode.com/gh_mirrors/fi/findom-xss

项目介绍

在网络安全领域中,DOM型跨站脚本(DOM-based XSS)是一种常见的Web应用程序安全问题,它允许恶意用户通过修改网页的DOM树来注入可执行代码。现在,我们有了一个强大的工具来快速检测此类漏洞——FinDOM-XSS。

FinDOM-XSS 是由dwisiswanto开发的一款高效工具,旨在帮助安全研究人员和开发者定位可能存在的DOM型XSS漏洞。它的直观界面和自动化扫描功能使得漏洞查找变得简单快捷。

FinDOM-XSS Screenshot

项目技术分析

FinDOM-XSS 基于LinkFinder,能够自动发现目标网站上的所有链接。然后,它将这些链接作为潜在的入口点,使用一系列预定义的测试模式进行扫描,寻找可能的DOM型XSS注入点。这个过程快速且高效,大大节省了手动审计的时间。

$ ./findom-xss.sh https://domain.tld/about-us.html

只需一行命令,FinDOM-XSS 就能对指定URL进行扫描,并将结果输出到终端或自定义文件。

项目及技术应用场景

对于任何负责Web应用程序安全性的人来说,FinDOM-XSS 都是一个非常实用的工具。无论你是想在项目上线前进行全面的安全检查,还是在接管已有应用后评估其安全状况,或者是进行渗透测试,这款工具都能为你提供有力的支持。同时,由于其依赖于LinkFinder,所以它特别适合处理大型复杂站点,可以轻松地扫描整个网站结构。

项目特点

  • 易用性:只需要一个URL即可启动扫描,支持从文件批量导入URL。
  • 效率:利用LinkFinder自动发现链接,提高扫描速度。
  • 灵活输出:可将结果保存至自定义文件,便于后期分析和报告。
  • 社区支持:开源项目,持续更新,有活跃的贡献者提供改进和新特性。

FinDOM-XSS 持续接受社区的贡献,不断优化和完善,确保始终与最新的安全威胁保持同步。

立即加入FinDOM-XSS的使用者行列,为您的Web应用筑起一道安全防线吧!

许可证信息可以在项目的LICENSE文件中查看。感谢所有贡献者的努力,尤其是受到JSScanner工具启发的@aslanewre对可能的模式所做的贡献。

findom-xssA fast DOM based XSS vulnerability scanner with simplicity.项目地址:https://gitcode.com/gh_mirrors/fi/findom-xss

【Burp入门第二十四篇】使用Burpsuite实现反射、储存、DOMXSS+靶场实战案例
等风来
04-08 2236
标签中没有进行XSS特殊字符转义,而在。标签进行DOM XSS。但观察蓝框可知,可闭合。该模块对姓名、电子邮件、网站做过滤处理,但评论处存在XSS
【安全牛学习笔记】存储XSS漏洞原理及修复方法
edu_aqniu的博客
10-23 5045
存储 XSS  漏洞的原理及修复方法  1.常见的触发场景 2.漏洞原理 3.漏洞危害 4.一些tips 5.如何避免&修复漏洞 www-data@w:~/controller$ vim missionController.class.php class missionController extends baseController{
findom-xss:一个基于DOM的快速XSS漏洞扫描程序,非常简单
04-22
FinDOM-XSS FinDOM-XSS是一种工具,可让您快速找到可能的和/或潜在的基于DOMXSS漏洞。 安装 $ git clone https://github.com/dwisiswant0/findom-xss.git --recurse-submodules 依赖项: 用法 要在目标上运行该工具,只需使用以下命令。 $ ./findom-xss.sh https://domain.tld/about-us.html 这将针对domain.tld运行该工具。 URL也可以通过管道传递到findom-xss并对其进行扫描。 例如: $ cat urls.txt | ./findom-xss.sh 第二个参数可用于指定输出文件。 $ ./findom-xss.sh https://domain.tld/about-us.html /path/to/output.txt
DOM-based XSS Test Cases
weixin_30702413的博客
04-17 301
Case 23 - DOM Injection via URL parameter (by server + client) https://brutelogic.com.br/dom/dom.php?p=Hello.<svg onload=alert(1)> https://brutelogic.com.br/dom/dom.php?p=<img src=x onerror...
DOM based XSS
风口的猪2016
05-19 1249
Insert title here function test(){ var src = document.getElementById("text").value; document.getElementById("a").innerHTML = " testLink "; } 1.构造一个新事件: 文本框中输入 ' onclick=alert('xss'
DOM-basedXSS
weixin_44186370的博客
08-20 1666
DOM-basedXSS 这种类XSS并非按照“数据是否保存在服务器端”来划分,DOM Based XSS从效果上来说也是反射XSS。单独划分出来,是因为DOM Based XSS的形成原因比较特别,发现它的安全专家专门提出了这种类XSS。出于历史原因,也就把它单独作为一个分类了。通过修改页面的DOM节点形成的XSS,称之为DOM Based XSS。 我们客户端的js可以对页面dom节点进行动态的操作,比如插入、修改页面的内容。比如说客户端从URL中提取数据并且在本地执行、如果用户在客户端输入
DOM Based XSS
Code_Aape的博客
08-28 306
DOM Based XSS从效果上来说也是反射XSS,单独划分出来,是因为它的形成原因比较特别。
BurpSuite插件Xss Scan - XSS漏洞扫描利器
- 自动扫描:Xss Scan tool能够自动化检测Web应用中的反射和存储XSS漏洞,通过扫描参数、表单、URL以及响应内容,来识别XSS漏洞- 漏洞验证:在发现潜在的XSS漏洞之后,插件可能会提供验证机制,例如自动插入...
XSS Scanner 1.0 挖掘XSS漏洞利器
02-11
XSS漏洞通常分为三类:反射XSS、存储XSSDOM-Based XSS。 1. 反射XSS:这种类XSS攻击是通过将恶意代码注入到URL中,当用户点击链接或者访问被篡改的URL时,浏览器会执行这些代码。攻击者通常利用用户的...
XSS Scanner 1.0:自动化探测XSS漏洞的工具介绍
XSS漏洞可以分为反射、存储DOM三种。XSS Scanner 1.0 能够检测所有这三种类XSS漏洞。它通过模拟不同的攻击向量(如脚本代码、HTML标签、事件处理程序等)来测试Web应用是否对这些输入执行了不当的输出...
xss漏洞扫描工具
03-12
它可以分析使用HTTP和HTTPS协议进行通信的应用程序,可以用最简单地形式记录它观察的会话,并允许操作人员以各种方 式观查会话。如果你需要观察一个基于HTTP(S)应用程序的运行状态,可以满足你这种需要。不管是帮助开发人员调试其它方面 的难题,还是允许安全专业人员识别漏洞,它都是一款不错的工具。
XSS漏洞检测工具
06-11
XSS漏洞检测工具,Linux下安装使用,很简单 Examples of usage: ============================== * Simple injection from URL: $ python XSSer.py -u "http://host.com" ------------------- * Simple injection from File, with tor proxy and spoofing HTTP Referer headers: $ python XSSer.py -i "file.txt" --proxy "http://127.0.0.1:8118" --referer "666.666.666.666" ------------------- * Multiple injections from URL, with automatic payloading, using tor proxy, injecting on payloads character encoding in "Hexadecimal", with verbose output and saving results to file (XSSlist.dat): $ python XSSer.py -u "http://host.com" --proxy "http://127.0.0.1:8118" --auto --Hex --verbose -w ------------------- * Multiple injections from URL, with automatic payloading, using caracter encoding mutations (first, change payload to hexadecimal; second, change to StringFromCharCode the first encoding; third, reencode to Hexadecimal the second encoding), with HTTP User-Agent spoofed, changing timeout to "20" and using multithreads (5 threads): $ python XSSer.py -u "http://host.com" --auto --Cem "Hex,Str,Hex" --user-agent "XSSer!!" --timeout "20" --threads "5"
Dom Based XSS
m0_51313985的博客
05-27 782
DOMXSS =>通过JS处理后才产生的XSS DOM—based XSS漏洞是基于文档对象模Document Object Model,DOM)的一种漏洞 DOM是一个与平台、编程语言无关的接口,它允许程序或脚本动态地访问和更新文档内容、结构和样式. 处理后的结果能够成为显示页面的一部分。 DOM中有很多对象,其中一些是用户可以操纵的,如uRl,location,refelTer等。 客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不依赖于提交数据到服务器端,而从客户端获得DOM中的数
Web渗透:XSS-DOM-based XSS
WolvenSec的博客
06-21 1727
DOM-based XSS(基于DOM的跨站脚本攻击)是一种XSS攻击类,其特点是恶意脚本通过操作文档对象模DOM)直接在客户端执行,而无需经过服务器的处理。这种攻击主要利用客户端JavaScript代码中的漏洞,使得攻击者能够在浏览器中注入并执行恶意代码。
DOM-based XSS攻击实现方法及如何预防教程
2301_76418831的博客
05-03 736
DOM-based XSS攻击是一种基于文档对象模DOM)的跨站脚本攻击。它利用了客户端脚本在解析页面时修改文档内容的能力。攻击者可以在客户端构造恶意URL,当用户访问该URL时,脚本会在用户浏览器中执行并污染当前文档对象,从而窃取用户敏感信息或者进行其他恶意行为。
重生之我是赏金猎人-SRC漏洞挖掘(九)-从本无法触发的xss到梦幻联动挖掘多个致命接口下的XSS触发点
J0o1ey Blog
02-16 299
重生之我是赏金猎人-SRC漏洞挖掘(九)-从本无法触发的xss到梦幻联动挖掘多个致命接口下的XSS触发点
DOM Based Cross Site Scripting (XSS)
angry_program的博客
02-09 3181
前言 DOM(document object model文档对象模),客户端脚本处理逻辑导致的安全问题。基于DOMXSS漏洞是指受害者端的网页脚本在修改本地页面DOM环境时未进行合理的处置,而使得攻击脚本被执行。在整个攻击过程中,服务器响应的页面并没有发生变化,引起客户端脚本执行结果差异的原因是对本地DOM的恶意篡改利用。DOMXSS由于其特殊性,常常被分为第三种,这是一种基于DOM树的...
FinDOM-XSS 项目使用教程
最新发布
gitblog_00132的博客
09-03 500
FinDOM-XSS 项目使用教程 findom-xssA fast DOM based XSS vulnerability scanner with simplicity.项目地址:https://gitcode.com/gh_mirrors/fi/findom-xss 1. 项目的目录结构及介绍 FinDOM-XSS 是一个用于检测基于 DOMXSS 漏洞的工具。以下是其目录结构的详细...
存储xss漏洞怎么解决_FinDOMXSS:一款针对DOMXSS漏洞的快速扫描工具
weixin_39720807的博客
11-26 474
FinDOM-XSSFinDOM-XSS是一款针对DOMXSS漏洞的快速扫描工具,广大安全研究人员可以利用FinDOM-XSS快速地发现/扫描出目标应用中潜在的DOMXSS漏洞。工具安装广大研究人员可以使用下列命令将该项目源码克隆至本地:$ git clone https://github.com/dwisiswant0/findom-xss.git依赖组件-LinkFinderLi...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黎杉娜Torrent

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值