摘要

XSSer——用于检测和利用XSS漏洞的自动Web测试框架工具
XSS是一种非常常见的漏洞类型,它分布非常广泛,且比较容易被检测到。
攻击者可以在无需验证的情况下将不受信任的JavaScript片段插入到应用程序中。然后,该JavaScript片段将会被访问目标站点的受害者执行。https://gbhackers.com/a3-cross-site-scripting-xss/
跨站点“Scripter”(又名Xsser)是一个自动框架,用于检测、利用和报告基于Web的应用程序中的XSS漏洞。
它包含几个可以绕过某些过滤器的选项,以及各种特殊的代码注入技术。

安装XSSer

Xsser可以在许多平台上运行。它需要Python和以下库:

- python-pycurl - Python bindings to libcurl
- python-xmlbuilder - create xml/(x)html files - Python 2.x
- python-beautifulsoup - error-tolerant HTML parser for Python
- python-geoip - Python bindings for the GeoIP IP-to-country resolver library

Debian上的安装为例:

sudo apt-get install python-pycurl python-xmlbuilder python-beautifulsoup python-geoip

用法

xsser -h列出所有功能:

root @ kali :〜#xsser -h


尝试简单的注入攻击

root @ kali :〜#xsser -u“http://192.168.169.130/xss/example1.php?name=hacker”


从Dork注入,选择“Google”作为搜索引擎:

root @ kali :〜#xsser -De“google”-d“search.php?q =”


在本KaliLinux教程中,使用自动payload从URL执行多次注入,建立反向连接。

xsser -u“http://192.168.169.130/xss/example1.php?name=hacker”-auto -reverse-check -s


简单的URL注入、使用GET、在Cookie上注入和使用DOM阴影

xsser -u“http://192.168.169.130/xss/example1.php?name=hacker”-g“/ path?vuln =”-Coo -Dom -Fp =“vulnerablescript”

启发式参数过滤

root@kali:~# xsser -u “http://192.168.169.130/xss/example1.php?name=hacker” –heuristic

启动GUI界面

root@kali:~# xsser –gtk

也可以将TOR代理与Xsser一起使用。

主要特点

使用GET和POST两种方法进行注入。
包括各种过滤器和绕过技术。
既可用于命令行,也可用于GUI。
提供详细的攻击的统计数据。

针对XSS的常见防御

可信任的输入
它是否符合预期的模式?
永不反射不信任的数据
上下文编码(Java/Attribute/HTML/CSS)。

本文链接:https://gbhackers.com/xsser-automated-framework-detectexploit-report-xss-vulnerabilities/

点击收藏 | 0 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖