0
点赞
收藏
分享

微信扫一扫

分享两个好用的XSS漏扫工具(工具)

=================
免责声明:希望大家以遵守《网络安全法》相关法律,本团队发表此文章仅用于研究学习,切勿用于非法犯罪活动,对于恶意使用该工具造成的损失,和本团队无关。
=================

分享两个好用的XSS漏扫工具(工具)_WEB安全

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。现在常见的XSS扫描工具NoXss,XSSFORK,xwaf,还有今天向大伙推荐的两款工具。

一、XSStrike

和xwaf相比,XSStrike优势在于它有一个payload自动生成器,这对于很多从事渗透工作的老师傅们和干红队的兄弟来说是很香的,而且可以快速的爬虫.....相信很多师傅联想到了xray,是的,确实有点相似,但是相比于前者,它的引擎更强大,同时还可以辅助模糊测试和WAF检测。

分享两个好用的XSS漏扫工具(工具)_WEB安全_02

dom型

分享两个好用的XSS漏扫工具(工具)_GUI界面_03

反射型

XSStrike安装与使用

安装位置
​​https://github.com/s0md3v/XSStrike.git​​

用法:
xsstrike.py [-h] [-u TARGET] [--data DATA] [-t THREADS] [--seeds SEEDS] [--json] [--path] [--fuzzer] [--update] [--timeout] [--params] [--crawl] [--blind][--skip-dom] [--headers] [--proxy] [-d DELAY] [-e ENCODING]

参数详解:-h, --help           show help
-u, --url             target url 
--data                post data 
-f, --file             load payloads from a file 
-t, --threads      number of threads 
-l, --level           level of crawling 
-t, --encode       payload encoding 
--json                treat post data as json 
--path                inject payloads in the path 
--seeds              load urls from a file as seeds 
--fuzzer             fuzzer 
--update            update 
--timeout           timeout 
--params            find params 
--crawl               crawl 
--proxy              use proxy
--blind               inject blind xss payloads while crawling 
--skip                 skip confirmation dialogue and poc 
--skip-dom         skip dom checking 
--headers            add headers 
-d, --delay           delay between requests

二、BruteXSS

​BruteXSS是一个用Python编写的工具,仅用于查找Web应用程序中的XSS漏洞。此工具最初由Shawar Khan在CLI中开发。我只是重新设计了它,并使其图形用户界面更方便。

分享两个好用的XSS漏扫工具(工具)_GUI界面_04

分享两个好用的XSS漏扫工具(工具)_WEB安全_05

分享两个好用的XSS漏扫工具(工具)_WEB安全_06

只需下载您的工具并运行brutexss.py(此工具所需的一切都提供给它)

下载地址:​​https://github.com/rajeshmajumdar/BruteXSS​​



举报

相关推荐

0 条评论