97亚洲se最新网址,国产精品亚洲综合久久,探花久久

XSpear XSS掃描器

XSpear是一款基于RubyGems的的XSS漏洞掃描器。擁有常見的XSS漏洞掃描攻擊測試功能。還可進行參數分析。

https://github.com/hahwul/XSpear

XSS漏洞掃描器

主要特點

基于模式匹配的XSS掃描
檢測alertconfirmprompt無頭瀏覽器上的事件（使用Selenium）
測試XSS保護旁路和反射參數的請求/響應
- 反射的參數
- 過濾測試event handlerHTML tagSpecial Char
測試盲XSS（使用XSS Hunter，ezXSS，HBXSS，等等所有網址盲測...）
動態/靜態分析
- 查找SQL錯誤模式
- 分析Security頭（CSPHSTSX-frame-options，XSS-protection等..）
- 分析其他標題..（服務器版本，內容類型等...）
從Raw文件掃描（Burp suite，ZAP Request）
在ruby代碼上運行的XSpear（使用Gem庫）
顯示table base cli-report和filtered rule，testing raw query（網址）
在所選參數下進行測試
支持輸出格式clijson
- cli：摘要，過濾規則（params），Raw Query
支持詳細級別（退出/正常/原始數據）
支持自定義回調代碼，以測試各種攻擊向量

XSpear安裝

安裝

$ gem install XSpear

或者本地安裝特定版本

$ gem install XSpear-{version}.gem

將此行添加到應用程序的Gemfile：

gem 'XSpear'

然后執行

$ bundle

依賴gems

colorize selenium-webdriver terminal-table

如果將其配置為在Gem庫中自動安裝，出現依賴問題，請嘗試：

$ gem install colorize
$ gem install selenium-webdriver
$ gem install terminal-table

XSpear cli使用

Usage: xspear -u [target] -[options] [value]
[ e.g ]
$ ruby a.rb -u 'https://www.hahwul.com/?q=123' --cookie='role=admin'


[ Options ]
    -u, --url=target_URL             [required] Target Url
    -d, --data=POST Body             [optional] POST Method Body data
--headers=HEADERS            [optional] Add HTTP Headers
--cookie=COOKIE              [optional] Add Cookie
--raw=FILENAME               [optional] Load raw file(e.g raw_sample.txt)
    -p, --param=PARAM                [optional] Test paramters
    -b, --BLIND=URL                  [optional] Add vector of Blind XSS
                                      + with XSS Hunter, ezXSS, HBXSS, etc...
                                      + e.g : -b https://hahwul.xss.ht
    -t, --threads=NUMBER             [optional] thread , default: 10
    -o, --output=FILENAME            [optional] Save JSON Result
    -v, --verbose=1~3                [optional] Show log depth
                                      + Default value: 2
                                      + v=1 : quite mode
                                      + v=2 : show scanning log
                                      + v=3 : show detail log(req/res)
    -h, --help                       Prints this help
--version                    Show XSpear version
--update                     Update with online

結果類型

（I）NFO：獲取信息（例如sql錯誤，過濾規則，反射的參數等...）
（V）UNL：易受攻擊的XSS，已檢查警報/提示/確認與Selenium
（L）OW：低級問題
（M）EDIUM：中等水平問題
（H）IGH：高級別問題

案例分析

掃描XSS

$ xspear -u "http://testphp.vulnweb.com/search.php?test=query" -d "searchFor=yy"

json輸出

$ xspear -u "http://testphp.vulnweb.com/search.php?test=query" -d "searchFor=yy" -o json -v 1

詳細日志

$ xspear -u "http://testphp.vulnweb.com/search.php?test=query" -d "searchFor=yy" -v 3

設置線程

$ xspear -u "http://testphp.vulnweb.com/search.php?test=query" -t 30

在所選參數下進行測試

$ xspear -u "http://testphp.vulnweb.com/search.php?test=query&cat=123&ppl=1fhhahwul" -p cat,test

測試盲目xss

$ xspear -u "http://testphp.vulnweb.com/search.php?test=query" -b "https://hahwul.xss.ht"

此外，還可以自已添加模塊，編寫測試功能等等，更多見readme。

審核編輯：李倩

聲明：本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人，不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用，如有內容侵權或者其他違規問題，請聯系本站處理。舉報投訴

漏洞

漏洞

+關注

關注
0

文章
205

瀏覽量
15955
掃描器

掃描器

+關注

關注
0

文章
197

瀏覽量
12769
XSS

XSS

+關注

關注
0

文章
25

瀏覽量
2619

原文標題：XSS漏洞掃描器工具

文章出處：【微信號：哆啦安全，微信公眾號：哆啦安全】歡迎添加關注！文章轉載請注明出處。

搜索歷史

XSS漏洞掃描器工具