XSSFORK:新一代XSS自动扫描测试工具(精)

已于 2022-08-25 16:22:44 修改
阅读量7.4k 收藏 34
点赞数 6
分类专栏: 安全工具 文章标签: xss 前端
于 2019-12-26 18:08:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012206617/article/details/103719503
版权
安全工具 专栏收录该内容
183 篇文章 71 订阅 ¥19.90 ¥99.00
订阅专栏
XSSFork是一款基于WebKit内核的新型XSS漏洞扫描工具,利用PhantomJS模拟浏览器行为,提高检测效率。相较于传统工具,XSSFork提供丰富的内置Payload和多种编码方式,支持反射型、DOM型、POST型等多种XSS场景的测试。了解详细安装教程、使用场景和编码方法,以提升Web安全测试效果。
摘要由CSDN通过智能技术生成

什么是XSS漏洞呢 ?

XSS(Cross-site scripting)译为跨站脚本攻击,在日常的web渗透测试当中,是最常见的攻击方法之一,并占有很高的地位。它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大敌。

传统的 xss 探测工具:

一般都是采用 payload in response 的方式,即在发送一次带有 payload 的 http 请求后,通过检测响应包中 payload 的完整性来判断,这种方式缺陷,很多。

0×001 前言

了解本专栏 订阅专栏 解锁全文
墨痕诉清风
关注
专栏目录
订阅专栏
XSS漏洞检测工具
06-11
XSS漏洞检测工具,Linux下安装使用,很简单 Examples of usage: ============================== * Simple injection from URL: $ python XSSer.py -u "http://host.com" ------------------- * Simple injection from File, with tor proxy and spoofing HTTP Referer headers: $ python XSSer.py -i "file.txt" --proxy "http://127.0.0.1:8118" --referer "666.666.666.666" ------------------- * Multiple injections from URL, with automatic payloading, using tor proxy, injecting on payloads character encoding in "Hexadecimal", with verbose output and saving results to file (XSSlist.dat): $ python XSSer.py -u "http://host.com" --proxy "http://127.0.0.1:8118" --auto --Hex --verbose -w ------------------- * Multiple injections from URL, with automatic payloading, using caracter encoding mutations (first, change payload to hexadecimal; second, change to StringFromCharCode the first encoding; third, reencode to Hexadecimal the second encoding), with HTTP User-Agent spoofed, changing timeout to "20" and using multithreads (5 threads): $ python XSSer.py -u "http://host.com" --auto --Cem "Hex,Str,Hex" --user-agent "XSSer!!" --timeout "20" --threads "5"
XSS攻击(4), XSS扫描工具
探测???
10-20 975
你需要在core/config.py中设置你的代理(proxies)然后你就可以在任何时候使用–proxy开关来使用它们。可以设置需要过滤的文件类型, 比如 js,gif,jpg,png,css 等.如果没有发现想要扫描的目标, 可以重新对上一级目录发送请求, 再查看目录树.面板点击开始按钮开启任务, 左侧显示任务相关的Log, 右侧显示扫描报告.设置爬虫和审计的配置, 包括爬虫深度, 审计的类型和速度等等.当自动扫描进行时, 比如全站扫描, 需要手动关闭扫描情况.左侧显示自动爬取出的url路径目录.
推荐好用的XSS漏洞扫描利用工具
ewii12567的博客
08-07 643
toxssin 是一种开源渗透测试工具,可自动执行跨站脚本 (XSS) 漏洞利用过程。它由一个 https 服务器组成,它充当为该工具 (toxin.js) 提供动力的恶意 JavaScript 有效负载生成的流量的解释器。
XSSer:自动XSS漏洞检测及利用工具
09-04
XSSer:自动XSS漏洞检测及利用工具 跨站点“Scripter”(又名XSSer)是一个自动化框架,用于检测、利用以及报告基于Web应用程序 中的XSS漏洞。 它包含多个尝试绕过某些过滤器的选项,以及各种特殊的代码注入技术。
xss漏洞扫描工具
03-12
它可以分析使用HTTP和HTTPS协议进行通信的应用程序,可以用最简单地形式记录它观察的会话,并允许操作人员以各种方 式观查会话。如果你需要观察一个基于HTTP(S)应用程序的运行状态,可以满足你这种需要。不管是帮助开发人员调试其它方面 的难题,还是允许安全专业人员识别漏洞,它都是一款不错的工具
xss检测工具XSStrike
wutiangui的博客
07-13 2094
通过解析HTML和暴力破解来查找隐藏的参数python3 xsstrike.py -u “http://example.com/page.php” --params。-f, --file //加载自定义paload字典。-t, --encode //定义payload编码方式。-u, --url //指定目标URL。–skip-dom //跳过DOM扫描。-t, --threads //定义线程数。
xss测试工具xsstrike基于python)
全栈菜鸟的博客
04-28 3815
xsstrike很强 项目地址: https://github.com/s0md3v/XSStrike 安装: git clone https://github.com/s0md3v/XSStrike.git 使用文档: https://github.com/s0md3v/XSStrike/wiki/Usage usage: xsstrike.py [-h] [...
xss测试工具xsstrike(基于python3)
weixin_50464560的博客
09-19 7343
xsstrike很强 项目地址: https://github.com/s0md3v/XSStrike 1 安装: git clone https://github.com/s0md3v/XSStrike.git 1 使用文档: https://github.com/s0md3v/XSStrike/wiki/Usage usage: xsstrike.py [-h] [-u TARGET] [--data DATA] [-t THREADS] [--seeds SEEDS] [--json] [-
selenium_xss_scanner:自动XSS漏洞检测工具
05-11
自动化反射型XSS漏洞检测工具(DOM型、存储型待实现) 视频演示地址 技术栈 flask selenium BrowserMob Proxy Semantic-ui sqlite3 部分截图 扫描参数配置 查看运行日志 配置Payload 下载报表(样式待优化)
XSS漏洞测试工具
02-10
XSS是一种非常常见的漏洞类型,它的影响非常的广泛并且很容易的就能被检测到。 攻击者可以在未经验证的情况下,将不受信任的JavaScript片段插入到你的应用程序中,然后这个JavaScript将被访问目标站点的受害者执行
自动化检测XSS漏洞插件
10-15
自动化检测XSS漏洞插件,希望对大家使用有帮助,一起进步,一起分享
Python-XSSCon一个用python37实现功能强大的XSS扫描工具
08-10
XSSCon: 一个用python 3.7实现功能强大的XSS扫描工具
Fiddler+X5S(XSS漏洞扫描,抓包)工具
09-22
Fiddler+X5S(XSS漏洞扫描,抓包)工具 Fiddler 是用C#写出来的,它包含一个简单却功能强大的基于JScript .NET 事件脚本子系统,它的灵活性非常棒,可以支持众多的http调试任务,并且能够使用.net框架语言进行扩展。 Fiddler支持断点调试技术,当你在软件的菜单—rules—automatic breakpoints选项选择before request,或者当这些请求或响应属性能够跟目标的标准相匹配,Fiddler就能够暂停Http通讯,并且允许修改请求和响应。这种功能对于安全测试是非常有用的,当然也可以用来做一般的功能测试,因为所有的代码路径都可以用来演习。 通过显示所有的Http通讯,Fiddler可以轻松地演示哪些用来生成一个页面,通过统计页面(就是Fiddler左边的那个大框)用户可以很轻松地使用多选,来得到一个WEB页面的“总重量”(页面文件以及相关js,css等)你也可以很轻松地看到你请求的某个页面,总共被请求了多少次,以及多少字节被转化了。 用户可以加入一个Inspector插件对象,来使用.net下的任何语言来编写Fiddler扩展。RequestInspectors 和 ResponseInspectors提供一个格式规范的,或者是被指定的(用户自定义)Http请求和响应视图。 另外,通过暴露HTTP头,用户可以看见哪些页面被允许在客户端或者是代理端进行缓存。如果要是一个响应没有包含Cache-Control 头,那么他就不会被缓存在客户端。 同类的工具有: httpwatch, firebug, wireshark。
深入探索:使用浏览器开发者工具进行XSS测试
最新发布
08-18
浏览器的开发者工具提供了多种功能,可以帮助开发者和安全专家进行XSS测试,以识别和修复这些漏洞。本文将详细介绍如何使用浏览器开发者工具进行XSS测试,并提供代码示例。 浏览器开发者工具是进行XSS测试的有力工具...
php xss漏洞扫描工具,XSS漏洞扫描工具:XSpear
weixin_30851655的博客
03-17 1226
XSpear是一款基于RubyGems的的XSS漏洞扫描器。拥有常见的XSS漏洞扫描攻击测试功能。还可进行参数分析。XSS漏洞扫描主要特点基于模式匹配的XSS扫描检测alertconfirmprompt无头浏览器上的事件(使用Selenium)测试XSS保护旁路和反射参数的请求/响应反射的参数过滤测试event handlerHTML tagSpecial Char测试盲XSS(使用XS...
xpt:XPT-XSS多色测试仪
01-31
XPT-XSS多色测试仪 XPT是XSS多语言测试平台,可在不到1分钟的时间内在30多个环境中测试XSS多语言。 该项目使用Google Chrome无头模式来测试XSS有效负载的执行情况。 在Debian上安装 # Install Google Chrome # ...
XSS检测工具XSStrike源码分析及使用记录
墨痕诉清风的博客
08-25 950
如果您的操作系统不支持此功能,或者您不想这样做,则可以简单地从命令行添加标头,\n并按如下所示分隔: python xsstrike.py -u http://example.com/page.php?q=query --headers "Accept-Language: en-US\nCookie: null",要使延迟最小,请使用-d选项将延迟设置为1秒。想要将有效负载注入URL路径,例如http://example.com/search/,您可以使用--pathswitch来实现。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

墨痕诉清风

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值