文章彙整

XSS 檢測工具 XSStrike

Astral WebBy Astral Web 3 weeks agoNo Comments
首頁  /  網站設計與開發  /  網站測試  /  XSS 檢測工具 XSStrike

XSStrike 是以python寫成的Cross Site Scripting注入檢測工具,他會使用多個解析器來產生有用的paload來去測試,他還包含爬蟲測試、參數查找、模糊測試、防火牆檢測功能掃描DOM XSS,下面我們來講解如何安裝與使用。

 

Ubuntu 20 內含Python 3

更新你的Python

sudo apt update
sudo apt -y upgrade
pip3 install fuzzywuzzy

接下來下載git

git clone https://github.com/s0md3v/XSStrike.git

你可以建立了一個簡單有問題的測試站,讓我們來實測

<html>
<bodey>
<input type="text" value="<?php echo $_GET['q']?>">
</bodey>
</html>

使用GET來測試你的網站

python3.8 xsstrike.py -u "http://myxss.com.tw/index.php?q=aaaaaa"

python3.8請配合你的版本

POST來測試

python3.8 xsstrike.py -u "http://myxss.com.tw/index.php?q=aaaaaa" --data "q=query"

也可以測試在路徑裡的參數

python3.8 xsstrike.py -u "http://myxss.com.tw/search/form/query" --path

他會依據 search->form->query 每個都取代一遍payload

json 格式輸入

自動查找參數

python3.8 xsstrike.py -u "http://myxss.com.tw/index.php" --params
python3.8 xsstrike.py -u "http://myxss.com.tw/index.php" --data '{"q":"query"} --json'

自動爬蟲

python3.8 xsstrike.py -u "http://myxss.com.tw/index.php" --seeds urls.txt  --crawl -l 3

-l or –level 可以設頁面抓取深度 –seeds 可以設定你需要的URL

設定headers

python3.8 xsstrike.py -u "http://myxss.com.tw/index.php" --headers “你的header”

讓你可以測試需要登入及特殊頁面,如果不輸入會開啟你的編輯器讓你貼上。

測試防火牆與過濾

python3.8 xsstrike.py -u "http://myxss.com.tw/index.php"  --fuzzer

XSS注入會造成使用者資安問題,攻擊的方式千百種,有一個工具輔助會節省很多時間,也因為開源可及時更新測試庫。

 

文章參考

https://github.com/s0md3v/XSStrike

以上是本篇的介紹,學會如何安裝及使用XSStrike了嗎!記得追蹤歐斯瑞FB粉絲團IG,就不會錯過最新資訊及文章分享呦!也別忘了訂閱我們的電子報!有任何問題,歡迎隨時與我們聯繫

以上內容由Astralweb 歐斯瑞編寫製作

 000

推薦文章

Categories:
  網站測試網站設計與開發

留下回應

你的電子郵件地址不會被公開.

請到您的信箱確認,即可完成訂閱。