一个简单的XSS检测工具

最新推荐文章于 2024-03-19 09:53:54 发布
最新推荐文章于 2024-03-19 09:53:54 发布
阅读量1.2k 收藏 1
点赞数
文章标签: pycharm 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44611282/article/details/106673840
版权
该博客介绍了如何使用一个简单的XSS检测工具,通过发送随机flag确定参数回显、回显位置,以及利用HTML和JS语法解析进行payload探测。在获取域名后,通过深度检索和数据清洗获取有效页面,并使用BeautifulSoup进行HTML分析。检测参数时,先检查URL参数,再分析form标签内的参数。博客提到检测工具准确率较高,但仅作初步检测,仍需人工确认。
摘要由CSDN通过智能技术生成

检测的主要流程:
发送随机flag -> 确定参数回显 -> 确定回显位置以及情况(html,js语法解析)
-> 根据情况根据不同payload探测 -> 使用html,js语法解析确定是否多出来了标签,属性,js语句等等。

在拿到一个域名后开始深度检索存在的所有链接(href,src),在经过数据清洗后得到有用的页面(去除js等其他目录)

def SearchDir(TestUrl):
    header = {
   
        'User-Agent':
            'Mozilla / 5.0(Windows NT 10.0; Win64;x64) AppleWebKit / 537.36(KHTML, likeGecko) Chrome / 73.0.3683.75Safari / 537.36'
    }
    html = requests.get(TestUrl,header)
    print(html.text)
    _html = BeautifulSoup(html.text,'lxml')
    href_all = re.findall(r"href=\".+?\"", str(_html))
    src_all = re.findall(r"src=\".+?\"", str(_html))
    NoNeedDir = ['.js','.css','.jpg','.png','javascript','.gif','.bmp']
    for i in href_all:
        #判断是否为同一域名
        flag_http = 0
        if 'http://' in i :
            if TestUrl in i:
                flag_http=1
            else:
                continue
        i = i.replace('href=','')
        i = i.replace('"',"")
        flag = 0
        for p in NoNeedDir:
            if  p in i:
                flag=1
                break
        if flag==0:
            if flag_http == 1:
                if i in urlList:
                    continue
                urlList.append(i)
            else:
                url = TestUrl + i
                if url in urlList:
                    continue
                urlList.append(url)
    for i in src_all:
        flag_http = 0
最低0.47元/天 解锁文章
niubiawocao
关注
XSS检测工具XSStrike源码分析及使用记录
墨痕诉清风的博客
08-25 951
如果您的操作系统不支持此功能,或者您不想这样做,则可以简单地从命令行添加标,\n并按如下所示分隔: python xsstrike.py -u http://example.com/page.php?q=query --headers "Accept-Language: en-US\nCookie: null",要使延迟最小,请使用-d选项将延迟设置为1秒。想要将有效负载注入URL路径,例如http://example.com/search/,您可以使用--pathswitch来实现。
XSSFORK:新一代XSS自动扫描测试工具(精)
墨痕诉清风的博客
12-26 7417
xssfork是一款新一代xss漏洞探测工具,其开发的目的是帮助安全从业者高效率的检测xss安全漏洞。与传统检测工具相比xssfork使用的是 webkit内核的浏览器phantomjs,其可以很好的模拟浏览器。工具分为两个部分,xssfork和xssforkapi,其中xssfork在对网站fuzz xss的时候会调用比较多的payload。话不多说,一起来研究下这款工具吧?
XSS漏洞检测工具
06-11
XSS漏洞检测工具,Linux下安装使用,很简单 Examples of usage: ============================== * Simple injection from URL: $ python XSSer.py -u "http://host.com" ------------------- * Simple injection from File, with tor proxy and spoofing HTTP Referer headers: $ python XSSer.py -i "file.txt" --proxy "http://127.0.0.1:8118" --referer "666.666.666.666" ------------------- * Multiple injections from URL, with automatic payloading, using tor proxy, injecting on payloads character encoding in "Hexadecimal", with verbose output and saving results to file (XSSlist.dat): $ python XSSer.py -u "http://host.com" --proxy "http://127.0.0.1:8118" --auto --Hex --verbose -w ------------------- * Multiple injections from URL, with automatic payloading, using caracter encoding mutations (first, change payload to hexadecimal; second, change to StringFromCharCode the first encoding; third, reencode to Hexadecimal the second encoding), with HTTP User-Agent spoofed, changing timeout to "20" and using multithreads (5 threads): $ python XSSer.py -u "http://host.com" --auto --Cem "Hex,Str,Hex" --user-agent "XSSer!!" --timeout "20" --threads "5"
xss测试工具xsstrike(基于python3)
weixin_50464560的博客
09-19 7345
xsstrike很强 项目地址: https://github.com/s0md3v/XSStrike 1 安装: git clone https://github.com/s0md3v/XSStrike.git 1 使用文档: https://github.com/s0md3v/XSStrike/wiki/Usage usage: xsstrike.py [-h] [-u TARGET] [--data DATA] [-t THREADS] [--seeds SEEDS] [--json] [-
xss检测工具XSStrike
wutiangui的博客
07-13 2094
通过解析HTML和暴力破解来查找隐藏的参数python3 xsstrike.py -u “http://example.com/page.php” --params。-f, --file //加载自定义paload字典。-t, --encode //定义payload编码方式。-u, --url //指定目标URL。–skip-dom //跳过DOM扫描。-t, --threads //定义线程数。
XSS漏洞测试工具
02-10
XSS是一种非常常见的漏洞类型,它的影响非常的广泛并且很容易的就能被检测到。 攻击者可以在未经验证的情况下,将不受信任的JavaScript片段插入到你的应用程序中,然后这个JavaScript将被访问目标站点的受害者执行
Python-XanXSS一个简单XSS查找工具
08-10
XanXSS一个简单XSS 查找工具
Python-XSStrike是一个最先进的跨站脚本XSS检测套件
08-10
综上所述,Python XSStrike是一个强大的XSS检测工具,通过其综合的检测手段和高效的执行能力,可以有效地帮助维护Web应用的安全,防止潜在的XSS攻击。对于从事Python开发以及网络安全的人来说,理解和掌握XSStrike的...
TamperIE - 一个小巧的XSS漏洞检测辅助工具
热门推荐
软件质量优化
01-21 1万+
有些开发人员喜欢在客户端进行用户输入的检查,这种方法其实是不安全的,因为跨站脚本攻击可以绕过客户端输入界面,利用一些工具来修改提交到服务器的字符串,从而达到跨站脚本攻击的目的。TamperIE就是此类的小工具之一(www.bayden.com)TamperIE安装后以插件的方式加载到IE浏览器中,监视IE浏览器与服务器之间的HTTP通信,截获提交到服务器的HTTP语句,修改其中的数
xssScanner-windows-version:python编写的的xss漏洞检测工具,selenium
05-16
xssScanner python编写的的xss漏洞检测工具,selenium 运行环境配置 xssScanner运行系统:windows 64位 开发语言:python 开发工具:pycharm xssScanner运行所需环境如下1-5所示: 1). python 2.7 2). mysql5.6 :执行xssScanner/installer/database.sql创建所需数据库并导入数据 3). firefox 59版本 4). python库: protobuf(3.0.0) mysql-connector-python(2.1.3) lxml(4.2.1) selenium (3.6.0) 5). selenium 火狐浏览器驱动geckodriver 0.20.1 mysql执行database.sql文件,实现数据库的创建和检测数据的导入。 使用说明 2.1 工具使用方
XSSer:自动化XSS漏洞检测及利用工具
09-04
XSSer:自动化XSS漏洞检测及利用工具 跨站点“Scripter”(又名XSSer)是一个自动化框架,用于检测、利用以及报告基于Web应用程序 中的XSS漏洞。 它包含多个尝试绕过某些过滤器的选项,以及各种特殊的代码注入技术。
XSS测试代码大全————
11-03
XSS测试代码 安全测试 XSS测试代码大全
XSS攻击检测
01-22
XSS攻击检测代码,删除bin生成的class,直接使用src加载.java 就好了,开发采用的myeclipse,使用其他工具的注意修改,
XSS测试工具,代码改进
06-24
xss测试工具 对网站进行XSS测试,找出网站的代码漏洞,帮助改进代码辅助工具.
毕业一年,从事运维感觉没有出路,如何转型更有前景?
Python_0011的博客
07-08 837
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
XSStrike:智能XSS漏洞检测工具
最新发布
gitblog_00087的博客
03-19 501
XSStrike:智能XSS漏洞检测工具 XSStrike项目地址:https://gitcode.com/gh_mirrors/xss/XSStrike 是一个强大的自动化工具,专为探测和利用跨站脚本(Cross-Site Scripting, XSS)漏洞而设计。它融合了人工智能与传统模式匹配技术,使得在大规模扫描和测试中能够识别出潜在的安全隐患,对于任何关心网站安全性的开发者、渗透测试人员...
XSS检测工具 X5S/fiddler
weixin_34080571的博客
02-18 244
x5s http://xss.codeplex.com/ 5s是fiddler的插件, 协助XSS脚本攻击的穿刺性测试。  需要手动驱动。 安全编码,unicode字符变形,ut-8编码。 5s is a Fiddler addon which aims to assist penetration testers in finding cross-site scripting vulne...
XSStrike:高级XSS检测工具详解与使用
以下是一个简单XSStrike实例演示,展示了如何针对一个易受XSS攻击的简单PHP页面进行测试: ```html $n=$_GET["name"]; echo $n; ?> ``` 在这个例子中,`name`参数没有经过任何过滤或转义,可以直接注入XSS ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值