Python编写XSS检测脚本

最新推荐文章于 2024-05-06 18:01:26 发布
最新推荐文章于 2024-05-06 18:01:26 发布
阅读量2.7k 收藏 16
点赞数
分类专栏: Python脚本 文章标签: python xss 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45605352/article/details/117384075
版权

这里只检测GET型反射型xss,先将url分割,将参数与paylod替换,从页面返回内容中查看是否有paylod语句来判断是否存在反射型XSS

import requests

payload = []
f = open('payload.txt', 'r')
for line in f:
    payload.append(line.strip())

headers = {
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:65.0) Gecko/20100101 Firefox/65.0",
    "Cookie": "security=high; PHPSESSID=b171pc6qicumo686s83fqfe6t5"
}


class spider():
    def __init__(self):
        self._url = ""

    def run(self, url):
        urls = urlsplit(url)
        if urls is None:
            return False
        print("\r[+] XSS Scaning......")
        for _urlp in urls:
            for _payload in payload:
                _url = _urlp.replace("payload", _payload)
                # urlt = url
                # self._url = _url
                r = requests.get(_url, headers=headers, timeout=5)
                # 如果无法正常访问返回空
                if r.status_code != 200:
                    break
                res = r.text
                if res is None:
                    return False
                # 如果页面返回内容中有payload则发现XSS
                if (res.find(_payload) != -1):
                    print("[*] XSS Found: ", _url)

        return False


# 将url拆分,并将后面参数与payload单独替换,之后查看页面反应
def urlsplit(url):
    domain = url.split("?")[0]
    # print(domain)
    _url = url.split("?")[-1]
    # print(_url)
    param = {}
    for val in _url.split("&"):
        param[val.split('=')[0]] = val.split('=')[-1]
    urls = []
    for val in param.values():
        new_url = domain + '?' + _url.replace(val, 'payload')
        urls.append(new_url)
    return urls


def main():
    url = 'http://127.0.0.1/i/DVWA-master/vulnerabilities/xss_r/?name=123&pwd=456'
    #url = input("请输入url: ")
    spi = spider()
    spi.run(url)


if __name__ == '__main__':
    main()

DVWA high级别演示:
在这里插入图片描述

yAnd0n9
关注
  • 0
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
使用Python打造基本WEB漏洞扫描器(三) 基于爬虫开发XSS检测插件
Wang Gangdan的博客
03-11 9806
一、实验说明 1.1 实验内容 本节会基于上节开发的插件框架,讲解xss漏洞形成的原理,据此编写一个简单的XSS检测插件,先上效果图。 1.2 实验知识点 XSS基础知识 XSS检测原理 1.3 实验环境 Python 2.7 win10 PyCharm 二、开发准备 xss攻击原理 什么是XSS? 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Casca...
跨站脚本漏洞XSS
qq_48904485的博客
03-22 8414
一、XSS跨站脚本基础 1、XSS漏洞介绍 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 2、XSS漏洞原理 形成XSS漏洞的主要原因是程序对输入和输出的控制不够严格,导致“精心构造”的脚本输入后,在输到前端时被浏览器当作有效代码解析执
Xssfork - XSS探测工具 -python
06-18
xssfork作为sicklescan的一个功能模块,其开发主要目的是用于检测xss漏洞。 传统的xss探测工具,一般都是采用 payload in response的方式,即在发送一次带有payload的http请求后,通过检测响应包中payload的完整性来判断,这种方式缺陷,很多。
09-python开发xss扫描器
最新发布
tianxiadiiw的博客
05-06 537
2、准备一份字典文件、尽可能包含更多的payload,并给每一个payload进行分类(不同的类型匹配的要求不同)1、整体上的思路是发送一个带有Payload参数值的请求,从响应当中判断是否存在Payload(反射性XSS)
安全测试之xss漏洞的检测与防御
HSS919的博客
03-13 4641
手工检测重点要考虑数据输入的地方,且需要清楚输入的数据输出到什么地方。在检测的开始,可以输入一些敏感字符,比如“、()”等,提交后查看网页源代码的变化以发现输入被输出到什么地方,且可以发现相关敏感字符是否被过滤。手工检测结果相对准确,但效率较低。
反射型xss漏洞总结和python脚本复现
Azehng的博客
10-21 442
content访问该页面,并以GET方式给content参数赋值,页面响应如下当我们输入,页面响应如下上面就是xss漏洞的体现场景,也算一种注入漏洞。跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
(28)【xss工具绕过】xss之burpsuite、前端、字典……
04-04 2119
包括代码层面、工具层面的xss绕过……
Python-XSStrike是一个最先进的跨站脚本XSS检测套件
08-10
**Python XSStrike:先进的跨站脚本XSS检测套件** XSS(Cross Site Scripting)攻击是一种常见的网络安全威胁,攻击者通过注入恶意脚本到网页中,从而影响用户浏览器的行为。Python XSStrike是应对这种威胁的一款...
Python-Python安全脚本
08-10
"Python安全脚本"指的是编写能够避免常见安全漏洞和威胁的Python代码。理解并实践这些安全原则有助于保护应用程序免受攻击,如SQL注入、跨站脚本XSS)、代码注入等。 Python的安全实践涵盖了多个方面: 1. 输入...
Python-一个基于burp的反射型xss检测插件
08-12
总之,"Python-一个基于burp的反射型xss检测插件"是Python开发与Web安全领域的一次优秀结合,它不仅体现了Python在网络安全工具开发中的潜力,也为Web安全测试提供了一种实用的解决方案。对于想要提升自己在这一领域...
Python脚本实现Web漏洞扫描工具
12-25
这是去年毕设做的一个Web漏洞扫描小工具,主要针对简单的SQL注入漏洞、SQL盲注和XSS漏洞,代码是看过github外国大神(听说是SMAP的编写者之一)的两个小工具源码,根据里面的思路自己写的。以下是使用说明和源代码。...
xssScanner-windows-version:python编写的的xss漏洞检测工具,selenium
05-16
xssScanner python编写的的xss漏洞检测工具,selenium 运行环境配置 xssScanner运行系统:windows 64位 开发语言:python 开发工具:pycharm xssScanner运行所需环境如下1-5所示: 1). python 2.7 2). mysql5.6 :执行xssScanner/installer/database.sql创建所需数据库并导入数据 3). firefox 59版本 4). python库: protobuf(3.0.0) mysql-connector-python(2.1.3) lxml(4.2.1) selenium (3.6.0) 5). selenium 火狐浏览器驱动geckodriver 0.20.1 mysql执行database.sql文件,实现数据库的创建和检测数据的导入。 使用说明 2.1 工具使用方
Python-一个Burpsuite插件用于检测隐藏的XSS
08-10
一个Burpsuite插件,用于检测隐藏的XSS
Python-XanXSS一个简单的XSS查找工具
08-10
XanXSS一个简单的 XSS 查找工具
Python_Security:包含python道德规范脚本
04-28
1. **Python安全编码基础**:在编写Python代码时,应遵循基本的编程最佳实践,如避免硬编码敏感信息,正确处理异常,以及及时更新库和框架以修复已知的安全漏洞。 2. **输入验证和过滤**:有效的输入验证是防止恶意...
检测到目标url存在框架注入漏洞_CheckXSS:基于 Python3 的跨站脚本漏洞检测工具...
weixin_39611037的博客
11-27 1103
一、工具安装下载地址项目地址:Jewel591/CheckXSS或使用 git 命令直接克隆项目到本地:git clone https://github.com/Jewel591/CheckXSS.git环境搭建注意:需要使用 python 3.6, python3.7 由于字符转义问题,运行会报错。进入项目目录,使用 pip 安装 python 模块:pip3 install -r requir...
【PyHacker编写指南】XSS检测脚本编写
XunanSec的博客
05-16 1051
这节课是巡安似海PyHacker编写指南的《XSS检测脚本编写》喜欢用Python脚本的小伙伴可以跟着一起写一写。编写环境:Python2.x
pythonxss扫描器的基础开发
kiihuang的博客
03-29 484
针对xss漏洞进行扫描器开发,实际测试中,xss小游戏靶场可以完成前10关,后面关卡使用字典够的话理论上也可以
xss漏洞检测使用python编写
03-29
以下是一个简单的Python脚本,用于检测网站中的XSS漏洞: ``` import requests # 发送HTTP请求并获取响应 def send_request(url): response = requests.get(url) return response.content # 检测是否存在XSS...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值