XSSFORK:新一代XSS自動掃描測試工具

2019-12-26 114701人圍觀 ,發現 10 個不明物體 工具

什么是XSS漏洞呢 ?

XSS(Cross-site scripting)譯為跨站腳本攻擊,在日常的web滲透測試當中,是最常見的攻擊方法之一,并占有很高的地位。它是通過對網頁注入可執行代碼且成功地被瀏覽器 執行,達到攻擊的目的,形成了一次有效XSS攻擊,一旦攻擊成功,它可以獲取用戶的聯系人列表,然后向聯系人發送虛假詐騙信息,可以刪除用戶的日志等等,有時候還和其他攻擊方式同時實 施比如SQL注入攻擊服務器和數據庫、Click劫持、相對鏈接劫持等實施釣魚,它帶來的危害是巨 大的,是web安全的頭號大敵。

傳統的 xss 探測工具:

一般都是采用 payload in response 的方式,即在發送一次帶有 payload 的 http 請求后,通過檢測響應包中 payload 的完整性來判斷,這種方式缺陷,很多。

0×001 前言

xssfork是一款新一代xss漏洞探測工具,其開發的目的是幫助安全從業者高效率的檢測xss安全漏洞。與傳統檢測工具相比xssfork使用的是 webkit內核的瀏覽器phantomjs,其可以很好的模擬瀏覽器。工具分為兩個部分,xssfork和xssforkapi,其中xssfork在對網站fuzz xss的時候會調用比較多的payload。話不多說,一起來研究下這款工具吧 ?

github地址:https://github.com/bsmali4/xssfork

0×002 環境依賴

Python 2.x

相關python庫(存在于項目requestments.txt中)

0×003安裝教程

git clone https://github.com/bsmali4/xssfork

python2 -m pip install -rrequestments.txt

python2 xssfork.py -h

出現以下顯示,代表安裝成功

0×004內置Payload

工具的開發者收集了目前流行的xss payload,豐富的一批歐(目前內置存在的payload數量為70個),payload文件存在于xssfork\thirdparty\fuzz_dic\payloads.dic文件里面

并且會添加上各種閉合的情況

0×005內置編碼方式

為了進行更加智能的進行測試,作者在測試時同時加入了繞過方式,提供了四種編碼方式,供大家進行使用

現階段提供了10進制,16進制,隨機大小寫,關鍵字疊加四個腳本

[0]10hex_encode 10進制

[1]16hex_encode 16進制

[2]addkeywords 關鍵字疊加

[3]uppercase 隨機大小寫

查看命令為:python xssfork.py –list

使用編碼命令為:-t 腳本名稱即可

0×006 使用場景

場景1 反射型xss

操作命令如下:

python2 xssfork.py -u "http://xssfork.codersec.net/xssdemo.php?id=23"

場景2 帶大小寫繞過

操作命令如下:

python2 xssfork.py -u "http://xssfork.codersec.net/xssdemo.php?id=23" -t uppercase

場景3 dom型xss

操作命令如下:

python2 xssfork.py -u "http://xssfork.codersec.net/xssdemo.php?id=23"

場景4 post型xss

操作命令如下:

python2 -u "http://xssfork.codersec.net/xssdemo.php" -d "name=123"

場景5 驗證cookie型xss

操作命令如下:

python2 xssfork.py -u "http://xssfork.codersec.net/xssdemo.php?id=23" -c "user=fdsfds;pass=123"

總結

xssfork感覺還是很不錯的工具,希望能夠在工作中給你一些幫助,最后感謝工具作者!謝謝

*本文作者:fuckerbox,轉載請注明來自FreeBuf.COM

相關推薦

這些評論亮了

  • 玄道 回復
    今晚,大家看我用意念日衛星
    )28( 亮了
發表評論

已有 10 條評論

取消
Loading...

這家伙太懶,還未填寫個人描述!

1 文章數 0 評論數 0 關注者

特別推薦

活動預告

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 微信上那些说赚钱是真的吗