快速、直接的XSS漏洞检测爬虫 – XSScrapy

最新推荐文章于 2020-11-27 22:57:55 发布
最新推荐文章于 2020-11-27 22:57:55 发布
阅读量240 收藏 4
点赞数
文章标签: python 爬虫

XSScrapy是一个快速、直接的XSS漏洞检测爬虫,你只需要一个URL,它便可以帮助你发现XSS跨站脚本漏洞。

XSScrapy的XSS漏洞攻击测试向量将会覆盖

Http头中的Referer字段
User-Agent字段
Cookie
表单(包括隐藏表单)
URL参数
RUL末尾,如 www.example.com/<script>alert(1)</script> 跳转型XSS

 

因为Scrapy并不是一个浏览器,所以对AJAX无能为力,我将会在未来努力实现这些功能,尽管并不容易:)

使用方法

基本检测命令

./xsscrapy.py -u http://something.com

如果你需要登陆的话,加上账号、密码作为参数即可

./xsscrapy.py -u http://something.com/login_page -l loginname -p pa$$word

检测结果将会存储在XSS-vulnerable.txt.

下载地址

[参考信息来源:http://danmcinerney.org/xsscrapy-fast-thorough-xss-vulnerability-spider/]

weixin_34177064
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xsscrapy及二次开发
caoxinjian423的博客
09-02 318
1、xsscrapy的思路 学习并梳理xsscrapy的运作机制: xss_sipder中start_request()对start_url即初始填写的url发起请求 中间件middlewares中process_request()对url、form、header去重处理并发出请求 结果返回到xss_spider中parse_start_url()、parse_url()进行判断: 如果是url:进入回循环前面流程继续发起请求 如果是非urlitem数据:进入pipline中process_it
使用Python打造基本WEB漏洞扫描器(三) 基于爬虫开发XSS检测插件
Wang Gangdan的博客
03-11 9829
一、实验说明 1.1 实验内容 本节会基于上节开发的插件框架,讲解xss漏洞形成的原理,据此编写一个简单的XSS检测插件,先上效果图。 1.2 实验知识点 XSS基础知识 XSS检测原理 1.3 实验环境 Python 2.7 win10 PyCharm 二、开发准备 xss攻击原理 什么是XSS? 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Casca...
基于网络爬虫XSS漏洞检测技术
星.云计算
03-20 1655
1. 背景和意义 在早期的网站设计中,网页的存在形式都是静态的。静态的网页内容稳定,不会经常更新,但是在后期却不易维护。如果需要维护更新网页,则必须重新编辑HTML网页,因此当网站很庞大的时候,维护静态网页的工作量几乎是不能容忍的。随着时代的发展,在这方面发展出来一大批的动态网站技术,比如JSP,ASP,PHP等。这些网站技术的动态性主要体现在其相应网页的形成过程是动态的,即网页内容会根据用...
使用XSScrapy扫描xss漏洞
iteye_16188的博客
08-23 595
url:http://danmcinerney.org/xsscrapy-fast-thorough-xss-vulnerability-spider/ 1. apt-get install python-pip 2. pip install scrapy 3. pip install ipythog 4. pip install pybloom 5. git clone https...
基于表单爬虫的Web 漏洞探测
07-20
基于表单爬虫的Web 漏洞探测基于表单爬虫的Web 漏洞探测
基于网络爬虫与页面代码行为的XSS漏洞动态检测方法
01-19
XSS漏洞是攻击Web应用程序...针对这种情况,对AJAX技术下XSS漏洞的特点进行了分析,提出了一种基于网络爬虫与页面代码行为的动态检测方法。实验结果表明,提出的方法在节省人力、时间成本与漏洞检测方面有较好的表现。
XSS漏洞检测使用优化的攻击向量库
03-07
XSS漏洞检测网络安全领域的关键研究课题,本论文提出了使用优化的攻击向量库进行XSS漏洞检测的方法。以下是根据给出的部分内容,详细解读的知识点。 首先,XSS(跨站脚本攻击)是一种常见的网络攻击技术,它利用...
论文研究-基于动态污点传播模型的DOMXSS漏洞检测.pdf
07-22
分析DOM XSS漏洞的形成原理,提出一种基于动态污点传播模型的DOM XSS漏洞检测算法,重点研究污点引入和污点检查,利用混合驱动爬虫实现自动化检测,采用函数劫持等方法检测污点数据的执行,并设计实现了原型系统DOM-...
基于爬虫XSS 漏洞检测工具设计与实现
12-05
基于爬虫XSS 漏洞检测工具设计与实现的电子书
基于爬虫开发XSS检测程序-代码.rar
04-10
本项目旨在利用爬虫技术开发一个XSS检测程序,帮助网站管理员发现并预防XSS漏洞XSS攻击的类型主要包括反射型XSS、存储型XSS和DOM型XSS。反射型XSS通常出现在URL参数中,当用户点击特殊构造的链接时,恶意脚本会...
Python-一个基于burp的反射型xss检测插件
08-10
一个基于burp的反射型xss检测插件
python scrapy重复执行实现代码详解
12-23
这篇文章主要介绍了python scrapy重复执行实现代码详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 Scrapy是一个为了爬取网站数据,提取结构性数据而编写的应用框架,我们只需要实现少量的代码,就能够快速的抓取 Scrapy模块: 1、scheduler:用来存放url队列 2、downloader:发送请求 3、spiders:提取数据和url 4、itemPipeline:数据保存 from twisted.internet import reactor, defer from scrapy.crawler imp
网页反限制工具,反限制
08-13
你还在为网页限制,而不能将自己喜欢的文章和图片保存到自己的电脑上吗,恶梦过去。这款工具能装常规网页限制解除。操作方法注意了。不是所有网页都有效哦!!! 使用方法: 1、关闭所有浏览器 2、打开本程序并“启动反限制” 3、这时打开的浏览器就不会执行JS脚本了。www.x-force.cn。这时,页面包括防复制和其他的措施均失效。。。尽情的复制吧。。呵呵 4、这时其实可以关闭本程序的了,因为它已经禁止了JS脚本的运行 5、由于JS脚本被禁止了,所以很多网站的很多功能都不正常了(因为他们使用JS代码) 6、在你使用完后,记得“禁用”反限制哟。。。不然不记得了天天上没有JS的网站是你在受罪哟。。
XSS漏洞测试工具
02-10
XSS是一种非常常见的漏洞类型,它的影响非常的广泛并且很容易的就能被检测到。 攻击者可以在未经验证的情况下,将不受信任的JavaScript片段插入到你的应用程序中,然后这个JavaScript将被访问目标站点的受害者执行
检测到目标url存在框架注入漏洞_CheckXSS:基于 Python3 的跨站脚本漏洞检测工具...
weixin_39611037的博客
11-27 1132
一、工具安装下载地址项目地址:Jewel591/CheckXSS或使用 git 命令直接克隆项目到本地:git clone https://github.com/Jewel591/CheckXSS.git环境搭建注意:需要使用 python 3.6, python3.7 由于字符转义问题,运行会报错。进入项目目录,使用 pip 安装 python 模块:pip3 install -r requir...
XDT——基于PythonXSS自动化检测工具
古月林夕のblog
07-18 1万+
前言XDT(XSS Detection Tool)是一个基于PythonXSS自动化检测工具。这是本人本科毕业设计时实现的一个课题。关于Python 作为最受欢迎的程序设计语言之一,其语法简洁,代码执行快速(不需编译),具有丰富和强大的库,可以帮助处理各种工作,包括线程、数据库、文档生成、正则表达式、单元测试、网页浏览器、CGI、FTP、电子邮件等等。由于其简单快速且强大的特性,测试工具开发者
利用xss漏洞窃取cookie登录
黑面狐
08-23 1万+
今天在测试自己产品的时候,发现有个地方输入框执行javascript脚本。 正好趁着这个机会给小伙伴们演示xss的危害。 首先在XSS平台上搭建一个测试项目。 我用的是http://xss.fbisb.com这个的免费平台 项目配置选择默认就可以了。 然后直接复制平台提供的代码到存在xss漏洞的地方 保存以后,我让另一个同事登录,并点击这个模块。 这是XSS
XSSFORK:新一代XSS自动扫描测试工具(精)
weixin_44110913的博客
03-01 1266
什么是XSS漏洞呢 ? XSS(Cross-site scripting)译为跨站脚本攻击,在日常的web渗透测试当中,是最常见的攻击方法之一,并占有很高的地位。它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系...
WEB漏洞测试(二)——HTML注入 & XSS攻击
热门推荐
qq_28241149的博客
02-28 2万+
上一篇介绍了我们安装BWAPP来完成我们的漏洞测试 在BWAPP中,将HTML Injection和XSS做了非常详细的分类,那么为什么要将两个一起讲呢?归根结底,我觉得这两个分明是一个玩意,充其量是攻击的方式不一样。 我们先来介绍一下这两种漏洞的原理,简单说:当用户在输入框输入内容,后台对输入内容不做处理直接添加入页面的时候,用户就可以刻意填写HTML、JavaScript脚
AJAX Web应用的XSS漏洞动态检测网络爬虫与代码行为结合的方法
"柳毅,洪俊斌提出的基于网络爬虫与页面代码行为的XSS漏洞动态检测方法,针对AJAX Web应用的XSS漏洞检测问题,通过网络爬虫技术和页面行为分析,提高了检测精度和效率。" XSS(Cross-Site Scripting)漏洞是一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值