XSS 檢測工具 XSStrike
XSStrike 是以python寫成的Cross Site Scripting注入檢測工具,他會使用多個解析器來產生有用的paload來去測試,他還包含爬蟲測試、參數查找、模糊測試、防火牆檢測功能掃描DOM XSS,下面我們來講解如何安裝與使用。
Ubuntu 20 內含Python 3
更新你的Python
sudo apt update sudo apt -y upgrade pip3 install fuzzywuzzy
接下來下載git
git clone https://github.com/s0md3v/XSStrike.git
你可以建立了一個簡單有問題的測試站,讓我們來實測
<html> <bodey> <input type="text" value="<?php echo $_GET['q']?>"> </bodey> </html>
使用GET來測試你的網站
python3.8 xsstrike.py -u "http://myxss.com.tw/index.php?q=aaaaaa"
python3.8請配合你的版本
POST來測試
python3.8 xsstrike.py -u "http://myxss.com.tw/index.php?q=aaaaaa" --data "q=query"
也可以測試在路徑裡的參數
python3.8 xsstrike.py -u "http://myxss.com.tw/search/form/query" --path
他會依據 search->form->query 每個都取代一遍payload
json 格式輸入
自動查找參數
python3.8 xsstrike.py -u "http://myxss.com.tw/index.php" --params
python3.8 xsstrike.py -u "http://myxss.com.tw/index.php" --data '{"q":"query"} --json'
自動爬蟲
python3.8 xsstrike.py -u "http://myxss.com.tw/index.php" --seeds urls.txt --crawl -l 3
-l or –level 可以設頁面抓取深度 –seeds 可以設定你需要的URL
設定headers
python3.8 xsstrike.py -u "http://myxss.com.tw/index.php" --headers “你的header”
讓你可以測試需要登入及特殊頁面,如果不輸入會開啟你的編輯器讓你貼上。
測試防火牆與過濾
python3.8 xsstrike.py -u "http://myxss.com.tw/index.php" --fuzzer
XSS注入會造成使用者資安問題,攻擊的方式千百種,有一個工具輔助會節省很多時間,也因為開源可及時更新測試庫。
文章參考
https://github.com/s0md3v/XSStrike
以上是本篇的介紹,學會如何安裝及使用XSStrike了嗎!記得追蹤歐斯瑞FB粉絲團及IG,就不會錯過最新資訊及文章分享呦!也別忘了訂閱我們的電子報!有任何問題,歡迎隨時與我們聯繫。
我要留言