基于Python的XSS测试工具XSStrike使用方法


Posted in Python onJuly 29, 2017

简介

XSStrike 是一款用于探测并利用XSS漏洞的脚本

XSStrike目前所提供的产品特性:

对参数进行模糊测试之后构建合适的payload

使用payload对参数进行穷举匹配

内置爬虫功能

检测并尝试绕过WAF

同时支持GET及POST方式

大多数payload都是由作者精心构造

误报率极低

debian及kali系统可直接下载 本.deb安装包

通用安装方法

使用如下命令进行下载:

git clone https://github.com/UltimateHackers/XSStrike/

完成下载之后,进入XSStrike目录:

cd XSStrike

接下来使用如下命令安装依赖模块:

pip install -r requirements.txt

完成安装,使用如下命令即可运行XSStrike:

python xsstrike

注意:本脚本仅支持Python 2.7

使用说明

基于Python的XSS测试工具XSStrike使用方法

这时便可以键入目标URL,但请通过插入”d3v<”以标记最重要的参数

例如:target.com/search.php?q=d3v&category=1

键入目标URL之后,XSStrike将检测该目标是否有WAF保护,如果不受WAF保护你将看到下面4个选项

1. Fuzzer: 检测输入内容是如何在网页下进行反映的,之后据此尝试构建payload

基于Python的XSS测试工具XSStrike使用方法

2. Striker: 对所有参数逐一进行穷举匹配,并在浏览器窗口中生成POC

基于Python的XSS测试工具XSStrike使用方法

3. Spider: 提取目标页面上所有存在的链接,并对这些链接进行XSS测试

基于Python的XSS测试工具XSStrike使用方法

4. Hulk: 使用了一种不同寻常的方式,直接无视掉输入所对应的网页内容变化。其有一个 polyglots 列表以及可靠的payload,它会逐一在目标参数中键入并在浏览器窗口中打开这些组合URL

基于Python的XSS测试工具XSStrike使用方法

XSStrike同样也可以绕过WAF

基于Python的XSS测试工具XSStrike使用方法

XSStrike 也支持 POST 方式

基于Python的XSS测试工具XSStrike使用方法

你也可 向 XSStrike 提供 cookies

基于Python的XSS测试工具XSStrike使用方法

与其他使用蛮力算法的程序不同,XSStrike有着少而精的payload,其中大多数都是由作者精心构造的。

Python 相关文章推荐
python自动化测试之setUp与tearDown实例
Sep 28 Python
Python自动重试HTTP连接装饰器
Apr 28 Python
Python 40行代码实现人脸识别功能
Apr 02 Python
python读取excel指定列数据并写入到新的excel方法
Jul 10 Python
手写一个python迭代器过程详解
Aug 27 Python
python对Excel按条件进行内容补充(推荐)
Nov 24 Python
python实现数据清洗(缺失值与异常值处理)
Dec 02 Python
Python操作MongoDb数据库流程详解
Mar 05 Python
Matplotlib使用Cursor实现UI定位的示例代码
Mar 12 Python
python不到50行代码完成了多张excel合并的实现示例
May 28 Python
python 实现有道翻译功能
Feb 26 Python
python opencv通过4坐标剪裁图片
Jun 05 Python
使用Kivy将python程序打包为apk文件
Jul 29 #Python
python对配置文件.ini进行增删改查操作的方法示例
Jul 28 #Python
Python3中使用PyMongo的方法详解
Jul 28 #Python
Python tkinter模块弹出窗口及传值回到主窗口操作详解
Jul 28 #Python
Python单体模式的几种常见实现方法详解
Jul 28 #Python
深入浅出分析Python装饰器用法
Jul 28 #Python
分享一个可以生成各种进制格式IP的小工具实例代码
Jul 28 #Python
You might like
php中常用编辑器推荐
2007/01/02 PHP
php将数据库中的电话号码读取出来并生成图片
2008/08/31 PHP
PHP 字符串分割和比较
2009/10/06 PHP
PHP sprintf() 函数的应用(定义和用法)
2012/06/29 PHP
UCenter 批量添加用户的php代码
2012/07/17 PHP
解决PHP4.0 和 PHP5.0类构造函数的兼容问题
2013/08/01 PHP
php实现下载限制速度示例分享
2014/02/13 PHP
2个自定义的PHP in_array 函数,解决大量数据判断in_array的效率问题
2014/04/08 PHP
thinkphp多层MVC用法分析
2015/12/30 PHP
laravel按天、按小时,查询数据的实例
2019/10/09 PHP
用原生JavaScript实现jQuery的$.getJSON的解决方法
2013/05/03 Javascript
javascript的创建多行字符串的7种方法
2014/04/29 Javascript
浅析Node.js查找字符串功能
2014/09/03 Javascript
js实现黑色简易的滑动门网页tab选项卡效果
2015/08/31 Javascript
js实现文字滚动效果
2016/03/03 Javascript
js判断空对象的实例(超简单)
2016/07/26 Javascript
KnockoutJS 3.X API 第四章之数据控制流with绑定
2016/10/10 Javascript
jQuery中checkbox反复调用attr('checked', true/false)只有第一次生效的解决方法
2016/11/16 Javascript
详解MVC如何使用开源分页插件(shenniu.pager.js)
2016/12/16 Javascript
详解webpack解惑:require的五种用法
2017/06/09 Javascript
从零撸一个pc端vue的ui组件库( 计数器组件 )
2019/08/08 Javascript
JavaScript实现多文件下载方法解析
2020/08/07 Javascript
vue-video-player实现实时视频播放方式(监控设备-rtmp流)
2020/08/10 Javascript
jquery自定义组件实例详解
2020/12/31 jQuery
python实现360皮肤按钮控件示例
2014/02/21 Python
对python中执行DOS命令的3种方法总结
2018/05/12 Python
Django中使用session保持用户登陆连接的例子
2019/08/06 Python
详解Python self 参数
2019/08/30 Python
keras 自定义loss损失函数,sample在loss上的加权和metric详解
2020/05/23 Python
屈臣氏菲律宾官网:Watsons菲律宾
2020/06/30 全球购物
编辑个人求职信范文
2013/09/21 职场文书
护理职业应聘自荐书
2013/09/29 职场文书
小学毕业感言500字
2014/02/28 职场文书
《微笑着面对生活》优秀演讲稿范文
2014/09/23 职场文书
教师党员个人总结
2015/02/10 职场文书
用Python监控你的朋友都在浏览哪些网站?
2021/05/27 Python