使用Python打造基本WEB漏洞扫描器(三) 基于爬虫开发XSS检测插件

最新推荐文章于 2024-05-13 00:10:13 发布
最新推荐文章于 2024-05-13 00:10:13 发布
阅读量9.8k 收藏 90
点赞数 6
分类专栏: python web安全扫描器 文章标签: python web安全扫描器 安全工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41589031/article/details/88395402
版权

一、实验说明

1.1 实验内容

本节会基于上节开发的插件框架,讲解xss漏洞形成的原理,据此编写一个简单的XSS检测插件,先上效果图。

在这里插入图片描述

1.2 实验知识点

  • XSS基础知识
  • XSS检测原理

1.3 实验环境

  • Python 2.7
  • win10
  • PyCharm

二、开发准备

xss攻击原理

什么是XSS?

跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

为什么要打造这个检测程序?

  1. XSS很少有自动化工具可以对其进行攻击检测
  2. 很难发现

ps:

但是大家不要高兴的太早,我们这篇xss检测程序是很原始很初级的自动化检测,只能检测一部分xss漏洞,但没关系,我们先做出雏形,在后期维护的时候慢慢增强这个功能。

三、实验步骤

3.1 上节回顾

在上节中,我们基于爬虫系统开发出了插件系统,这个系统会非常方便的把爬取出来的链接传递到插件系统中,我们只需要一个框架:

import re,random
from lib.core import Download
class spider:
    def run(self,url,html):
         pass

然后将运行函数写到run函数里面就可以了,url,html是插件系统传递过来的链接和链接的网页源码。

3.2 XSS检测原理:

我们这里先做个很简单的xss原理检测工具,也很简单,就是通过一些xss的payload加入到url参数中,然后查找url的源码中是否存在这个参数,存在则可以证明页面存在xss漏洞了。

payload list:

</script>"><script>prompt(1)</script>
</ScRiPt>"><ScRiPt>prompt(1)</ScRiPt>
"><img src=x onerror=prompt(1)>
"><svg/onload=prompt(1)>
"><iframe/src=javascript:prompt(1)>
"><h1 onclick=prompt(1)>Clickme</h1>
最低0.47元/天 解锁文章
WangGangdan
关注
  • 6
    点赞
  • 90
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
基于Python的自动代理Web漏洞扫描的设计与实现.zip
10-16
基于Python的自动代理Web漏洞扫描的设计与实现
基于网络爬虫XSS漏洞检测技术
星.云计算
03-20 1644
1. 背景和意义 在早期的网站设计中,网页的存在形式都是静态的。静态的网页内容稳定,不会经常更新,但是在后期却不易维护。如果需要维护更新网页,则必须重新编辑HTML网页,因此当网站很庞大的时候,维护静态网页的工作量几乎是不能容忍的。随着时代的发展,在这方面发展出来一大批的动态网站技术,比如JSP,ASP,PHP等。这些网站技术的动态性主要体现在其相应网页的形成过程是动态的,即网页内容会根据用...
基于Pythonweb漏洞挖掘扫描技术的实现与研究【附源码,文档】
最新发布
徐师兄的博客
05-13 921
本次技术通过利用Python技术来开发一款针对web漏洞挖掘扫描的技术,通过web漏洞的挖掘扫描来实现对网站URL的漏洞检测,通过高中低风险的判断来实现对一款网站中存在的漏洞进行可视化的分析,从而能够找到问题并且尽快的实现问题的解决。网络漏洞扫描技术能够通过以攻击者的视角出发,通过模拟对程序的攻击来认识到程序可能存在的风险,从而更快速的找到问题的所在,实现有效的漏洞补丁完善等功能实现。漏洞挖掘扫描技术是一种主动的防御过程,是未雨绸缪的一种防护手段。
pythonxss扫描器的基础开发
kiihuang的博客
03-29 488
针对xss漏洞进行扫描器开发,实际测试中,xss小游戏靶场可以完成前10关,后面关卡使用字典够的话理论上也可以
论文研究-基于网络爬虫Web安全扫描工具的研究 .pdf
08-18
基于网络爬虫Web安全扫描工具的研究,翟涵,罗守山,本文采用自适应窗口爬取策略,基于入口URL对Web网页进行爬取。在注入点的寻找上,设计了具有更强的通配性的URL匹配模式,有效的改进
Python编写XSS检测脚本
weixin_45605352的博客
05-29 2738
这里只检测GET型反射型xss,先将url分割,将参数与paylod替换,从页面返回内容中查看是否有paylod语句来判断是否存在反射型XSS import requests payload = [] f = open('payload.txt', 'r') for line in f: payload.append(line.strip()) headers = { "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:
安全测试之xss漏洞检测与防御
HSS919的博客
03-13 4654
手工检测重点要考虑数据输入的地方,且需要清楚输入的数据输出到什么地方。在检测的开始,可以输入一些敏感字符,比如“、()”等,提交后查看网页源代码的变化以发现输入被输出到什么地方,且可以发现相关敏感字符是否被过滤。手工检测结果相对准确,但效率较低。
(28)【xss工具绕过】xss之burpsuite、前端、字典……
04-04 2122
包括代码层面、工具层面的xss绕过……
反射型xss漏洞总结和python脚本复现
Azehng的博客
10-21 450
content访问该页面,并以GET方式给content参数赋值,页面响应如下当我们输入,页面响应如下上面就是xss漏洞的体现场景,也算一种注入漏洞。跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
web漏洞扫描基于爬虫的多线程
05-07
基于爬虫的多线程web漏洞扫描 python run.py --help Usage: run.py [options] Options: -h, --help show this help message and exit -d DOMAIN, --domain=DOMAIN Start the domain name -t THREAD_NUM...
基于PythonWeb漏洞扫描.zip
10-16
本资源"基于PythonWeb漏洞扫描"提供了使用Python构建此类工具的方法和实践。 Python Web漏洞扫描主要依赖于以下几个关键知识点: 1. **网络爬虫**:Web漏洞扫描首先需要遍历目标网站的所有页面,这涉及到...
基于python+Django的漏洞扫描系统源码数据库论文.doc
06-30
总之,基于Python和Django的漏洞扫描系统是一个实用的工具,它能自动化检测Web应用的脆弱性,并帮助管理员采取预防措施,提升网络安全。这个系统不仅适用于个人网站,也可以广泛应用于企业级环境,以保护关键的在线...
Python打造漏洞扫描-内含源码以及设计说明书(可以自己运行复现).zip
05-08
Python打造漏洞扫描:源码与设计详解》 在网络安全领域,漏洞扫描是至关重要的工具,它能帮助我们发现并修复系统中的安全漏洞,防止黑客攻击。本教程将深入探讨如何使用Python构建这样的扫描器,从源码解析到...
检测到目标url存在框架注入漏洞_CheckXSS:基于 Python3 的跨站脚本漏洞检测工具...
weixin_39611037的博客
11-27 1104
一、工具安装下载地址项目地址:Jewel591/CheckXSS使用 git 命令直接克隆项目到本地:git clone https://github.com/Jewel591/CheckXSS.git环境搭建注意:需要使用 python 3.6, python3.7 由于字符转义问题,运行会报错。进入项目目录,使用 pip 安装 python 模块:pip3 install -r requir...
Python实现XSS扫描_python xss扫描工具 xsslab,网络安全开发实用必备的几款插件
2401_84424257的博客
04-17 1086
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。# 此处为XSS的爆破字典,可以自行替换。最后就是大家最关心的网络安全面试题板块。
使用Python打造基本WEB漏洞扫描(一) 网站爬虫+SQL注入检测
热门推荐
Wang Gangdan的博客
03-07 1万+
一、实验介绍 扫描器需要实现功能的思维导图: 1.1 实验内容 编写一个简单的多线程爬虫,用于对网站地址进行爬取,编写一个简单的sql注入工具,用于对网站地址进行sql注入的检测。 1.2 实验知识点 多线程的使用 网站爬虫基本知识 SQL注入的基本原理 SQL检测工具编写,多参数URL的sql注入检测 正则表达式的基本知识 1.3 实验环境 Python 2.7 Win10 PyCha...
网络爬虫+SQL注入检测
weixin_30244889的博客
04-02 385
4.3 爬虫和SQL检查的结合在lib/core/Spider.py文件引用一下from script import sqlcheck 等下节课我们开发出了插件系统后,就不需要这样引用了,爬虫会自动调用,但这节课为了测试,我们还是引用一下。在craw()方法中,取出新url地方调用一下。()##sql checktry: if(sqlcheck.sqlcheck(new_url)): ...
Python 网络爬虫2:第方库requests 渗透脚本的编写(SQL注入的EXP,主机发现、端口扫描)
Hi~ 土拨鼠
12-30 1468
文章目录Python 编写EXPrequests库的使用http方法发送http请求定制头部超时 Python 编写EXP 主要是针对Web 应用中的漏洞,与Web应用进行交互,大多是基于HTTP协议的,所以需要引入一些关于HTTP的模块,例如:第方模块 requests模块 安装:pip install requests requests库的使用 http方法 GET 获取资源 POST 传输实体主体 PUT 传输文件 HEAD 获得响应报文首部 DELETE
Python编写的简单的SQL入侵检测脚本
Asunatoy的博客
03-03 375
Python编写的简单SQL入侵检测脚本
基于爬虫xss漏洞检测工具设计与实现
10-11
基于爬虫XSS漏洞检测工具设计与实现是指利用爬虫技术来自动化地扫描和检测网站中的XSS漏洞。以下是一个基于爬虫XSS漏洞检测工具的设计与实现的简要介绍: 1. 设计思路与流程: - 定义目标:确定要检测的目标网站。 - 爬取网页:使用爬虫技术,自动爬取目标网站上的所有页面。 - 分析页面:对每个爬取到的页面进行解析和分析,提取潜在的XSS漏洞点。 - 构造攻击:为潜在的XSS漏洞点构造恶意攻击代码,注入到页面中。 - 漏洞验证:访问注入后的页面,检测是否触发XSS漏洞。 - 漏洞报告:生成详细的漏洞报告,包括漏洞点的位置、类型和可能的影响等信息。 2. 工具的关键功能: - 爬虫模块:实现自动爬取目标网站上的所有页面,并保存在本地。 - 解析模块:对抓取到的页面进行解析,提取出其中的HTML、JavaScript和DOM元素等关键信息。 - 漏洞检测模块:根据XSS漏洞的特征和规则,检测页面中是否存在潜在的XSS漏洞点。 - 恶意代码注入模块:为潜在的XSS漏洞点构造恶意攻击代码,并注入到页面中进行漏洞验证。 - 漏洞报告模块:生成详细的漏洞报告,包括漏洞点的位置、类型和可能的影响等信息。 3. 实现技术和工具: - 使用Python编程语言来实现整个工具,利用Python爬虫库(如BeautifulSoup、Scrapy等)进行网页爬取和页面解析。 - 利用正则表达式来提取和匹配页面中的潜在XSS漏洞点。 - 使用JavaScript来构造恶意攻击代码,并注入到页面中进行漏洞验证。 - 生成漏洞报告可以采用HTML格式,并使用CSS样式进行美化展示。 总之,基于爬虫XSS漏洞检测工具通过自动化地爬取、解析、检测和验证目标网站上的页面,能够帮助网站管理员及时发现并修复XSS漏洞,提高网站的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值