git clone https://github.com/s0md3v/XSStrike.git
更新依赖模块,命令如下(首先进入xsstrike目录)
pip3 install -r requirements.txt
04 使用方法
测试GET传参的网页:
python3 xsstrike.py -u “http://192.168.26.138/xss.php?payload=1”
测试POST数据:
python3 xsstrike.py -u “http://example.com/search.php” --data “q=query”
python3 xsstrike.py -u “http://example.com/search.php” --data ‘{“q”:“query”} --json’
该工具用于检测 Web 应用程序中的 XSS 漏洞,支持多种扫描选项和自定义设置。以下是它提供的一些常见选项和参数:
- -u/–url:指定要测试的目标 URL。
- –data:用于 POST 请求,指定提交的数据。
- -e/–encode:编码荷载以绕过 WAF 或其他过滤器。
- –fuzzer:启用模糊测试模式以在请求中注入随机负载。
- –update:更新 XSStrike 到最新版本。
- –timeout:设置每次 HTTP 请求的超时时间。
- –proxy:使用代理服务器发送请求。
- –crawl:启用爬虫模式,自动发现与目标相关的页面。
- –json:将 POST 数据视为 JSON 格式。
- –path:在路径中注入负载。
- –seeds:从文件中加载作为种子的网址列表来加速爬取。
- -f/–file:从文件中加载测试负载列表。
- -l/–level:设置爬取级别,0-5。
- –headers:添加请求头。
- -t/–threads:设置并发线程数。
- -d/–delay:设置两个请求之间的延迟时间。
- –skip:跳过询问用户是否要继续扫描。
- –skip-dom:跳过 DOM 检查。
- –blind:在爬取过程中注入盲 XSS 负载。
- –console-log-level/–file-log-level/–log-file:设置日志输出级别和文件名。
g