XSpear是一款基于RubyGems的的XSS漏洞扫描器。拥有常见的XSS漏洞扫描攻击测试功能。还可进行参数分析。
XSS漏洞扫描
主要特点
基于模式匹配的XSS扫描
检测alert confirm prompt无头浏览器上的事件(使用Selenium)
测试XSS保护旁路和反射参数的请求/响应
反射的参数
过滤测试 event handler HTML tag Special Char
测试盲XSS(使用XSS Hunter,ezXSS,HBXSS,等等所有网址盲测...)
动态/静态分析
查找SQL错误模式
分析Security头(CSP HSTS X-frame-options,XSS-protection等..)
分析其他标题..(服务器版本,内容类型等...)
从Raw文件扫描(Burp suite,ZAP Request)
在ruby代码上运行的XSpear(使用Gem库)
显示table base cli-report和filtered rule,testing raw query(网址)
在所选参数下进行测试
支持输出格式 cli json
cli:摘要,过滤规则(params),Raw Query
支持详细级别(退出/正常/原始数据)
支持自定义回调代码,以测试各种攻击向量
XSpear安装
安装
$ gem install XSpear
或者本