编程 Python

基于Python的XSS测试工具XSStrike使用方法

Posted in Python onJuly 29, 2017

简介

XSStrike 是一款用于探测并利用XSS漏洞的脚本

XSStrike目前所提供的产品特性：

对参数进行模糊测试之后构建合适的payload

使用payload对参数进行穷举匹配

内置爬虫功能

检测并尝试绕过WAF

同时支持GET及POST方式

大多数payload都是由作者精心构造

误报率极低

debian及kali系统可直接下载本.deb安装包

通用安装方法

使用如下命令进行下载：

git clone https://github.com/UltimateHackers/XSStrike/

完成下载之后，进入XSStrike目录：

cd XSStrike

接下来使用如下命令安装依赖模块：

pip install -r requirements.txt

完成安装，使用如下命令即可运行XSStrike：

python xsstrike

注意：本脚本仅支持Python 2.7

使用说明

基于Python的XSS测试工具XSStrike使用方法

这时便可以键入目标URL，但请通过插入”d3v<”以标记最重要的参数

例如：target.com/search.php?q=d3v&category=1

键入目标URL之后，XSStrike将检测该目标是否有WAF保护，如果不受WAF保护你将看到下面4个选项

1. Fuzzer: 检测输入内容是如何在网页下进行反映的，之后据此尝试构建payload

基于Python的XSS测试工具XSStrike使用方法

2. Striker: 对所有参数逐一进行穷举匹配，并在浏览器窗口中生成POC

基于Python的XSS测试工具XSStrike使用方法

3. Spider: 提取目标页面上所有存在的链接，并对这些链接进行XSS测试

基于Python的XSS测试工具XSStrike使用方法

4. Hulk: 使用了一种不同寻常的方式，直接无视掉输入所对应的网页内容变化。其有一个 polyglots 列表以及可靠的payload，它会逐一在目标参数中键入并在浏览器窗口中打开这些组合URL

基于Python的XSS测试工具XSStrike使用方法

XSStrike同样也可以绕过WAF

基于Python的XSS测试工具XSStrike使用方法

XSStrike 也支持 POST 方式

基于Python的XSS测试工具XSStrike使用方法

你也可向 XSStrike 提供 cookies

基于Python的XSS测试工具XSStrike使用方法

与其他使用蛮力算法的程序不同，XSStrike有着少而精的payload，其中大多数都是由作者精心构造的。

基于Python的XSS测试工具XSStrike使用方法

- Author -

鸢尾

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

Python 相关文章推荐

PHP webshell检查工具 python实现代码

Sep 15 Python

Python入门篇之面向对象

Oct 20 Python

Python构造函数及解构函数介绍

Feb 26 Python

Python 类与元类的深度挖掘 I【经验】

May 06 Python

Python装饰器用法实例总结

May 26 Python

python之pyqt5通过按钮改变Label的背景颜色方法

Jun 13 Python

python绘制直方图和密度图的实例

Jul 08 Python

用Python调用win命令行提高工作效率的实例

Aug 14 Python

python Event事件、进程池与线程池、协程解析

Oct 25 Python

python几种常用功能实现代码实例

Dec 25 Python

Python限制内存和CPU使用量的方法（Unix系统适用）

Aug 04 Python

Python 中的函数装饰器和闭包详解

Feb 06 Python

使用Kivy将python程序打包为apk文件

Jul 29 #Python

python对配置文件.ini进行增删改查操作的方法示例

Jul 28 #Python

Python3中使用PyMongo的方法详解

Jul 28 #Python

Python tkinter模块弹出窗口及传值回到主窗口操作详解

Jul 28 #Python

Python单体模式的几种常见实现方法详解

Jul 28 #Python

深入浅出分析Python装饰器用法

Jul 28 #Python

分享一个可以生成各种进制格式IP的小工具实例代码

Jul 28 #Python

You might like

php中iconv函数使用方法

2008/05/24 PHP

thinkphp实现like模糊查询实例

2014/10/29 PHP

php将文本文件转换csv输出的方法

2014/12/31 PHP

PHP文件下载实例代码浅析

2016/08/17 PHP

php 输入输出流详解及示例代码

2016/08/25 PHP

ecshop适应在PHP7的修改方法解决报错的实现

2016/11/01 PHP

Javascript的并行运算实现代码

2010/11/19 Javascript

JavaScript 计算图片加载数量的代码

2011/01/01 Javascript

js检测浏览器版本、核心、是否移动端示例

2014/04/24 Javascript

javacript获取当前屏幕大小

2016/06/04 Javascript

JavaScript中英文字符长度统计方法示例【按照中文占2个字符】

2017/01/17 Javascript

VueJs 将接口用webpack代理到本地的方法

2017/11/27 Javascript

JavaScript中toLocaleString()和toString()的区别实例分析

2018/08/14 Javascript

了解javascript中let和var及const关键字的区别

2019/05/24 Javascript

nodejs简单抓包工具使用详解

2019/08/23 NodeJs

简单了解JavaScript arguement原理及作用

2020/05/28 Javascript

Python实现动态添加类的属性或成员函数的解决方法

2014/07/16 Python

Python中用pycurl监控http响应时间脚本分享

2015/02/02 Python

分析python切片原理和方法

2017/12/19 Python

Python中循环引用（import）失败的解决方法

2018/04/22 Python

python更改已存在excel文件的方法

2018/05/03 Python

PyQt QCombobox设置行高的方法

2019/06/20 Python

Python如何在循环内使用list.remove()

2020/06/01 Python

Python爬虫如何破解JS加密的Cookie

2020/11/19 Python

[原创]赚疯了!转手立赚800+?大佬的python「抢茅台脚本」使用教程

2021/01/12 Python

CSS3实现多背景展示效果通过CSS3定位多张背景

2014/08/10 HTML / CSS

HTML5 audio标签使用js进行播放控制实例

2015/04/24 HTML / CSS

AHAVA美国官方网站：死海海泥护肤品牌

2016/10/18 全球购物

Spartoo荷兰：鞋子、包包和服装

2018/07/12 全球购物

综治宣传月活动总结

2014/04/28 职场文书

银行贷款委托书范本

2014/10/11 职场文书

颐和园的导游词

2015/01/30 职场文书

高中生思想道德自我评价

2015/03/09 职场文书

如何撰写出一份完美的商业计划书？

2019/07/12 职场文书

Python Pandas数据分析之iloc和loc的用法详解

2021/11/11 Python

苹果可能正在打击不进行更新的 App

2022/04/24 数码科技