摘要
XSSer——用于检测和利用XSS漏洞的自动Web测试框架工具
XSS是一种非常常见的漏洞类型,它分布非常广泛,且比较容易被检测到。
攻击者可以在无需验证的情况下将不受信任的JavaScript片段插入到应用程序中。然后,该JavaScript片段将会被访问目标站点的受害者执行。https://gbhackers.com/a3-cross-site-scripting-xss/
跨站点“Scripter”(又名Xsser)是一个自动框架,用于检测、利用和报告基于Web的应用程序中的XSS漏洞。
它包含几个可以绕过某些过滤器的选项,以及各种特殊的代码注入技术。
安装XSSer
Xsser可以在许多平台上运行。它需要Python和以下库:
- python-pycurl - Python bindings to libcurl
- python-xmlbuilder - create xml/(x)html files - Python 2.x
- python-beautifulsoup - error-tolerant HTML parser for Python
- python-geoip - Python bindings for the GeoIP IP-to-country resolver library
Debian上的安装为例:
sudo apt-get install python-pycurl python-xmlbuilder python-beautifulsoup python-geoip
用法
xsser -h列出所有功能:
root @ kali :〜#xsser -h
尝试简单的注入攻击
root @ kali :〜#xsser -u“http://192.168.169.130/xss/example1.php?name=hacker”
从Dork注入,选择“Google”作为搜索引擎:
root @ kali :〜#xsser -De“google”-d“search.php?q =”
在本KaliLinux教程中,使用自动payload从URL执行多次注入,建立反向连接。
xsser -u“http://192.168.169.130/xss/example1.php?name=hacker”-auto -reverse-check -s
简单的URL注入、使用GET、在Cookie上注入和使用DOM阴影
xsser -u“http://192.168.169.130/xss/example1.php?name=hacker”-g“/ path?vuln =”-Coo -Dom -Fp =“vulnerablescript”
启发式参数过滤
root@kali:~# xsser -u “http://192.168.169.130/xss/example1.php?name=hacker” –heuristic
启动GUI界面
root@kali:~# xsser –gtk
也可以将TOR代理与Xsser一起使用。
主要特点
使用GET和POST两种方法进行注入。
包括各种过滤器和绕过技术。
既可用于命令行,也可用于GUI。
提供详细的攻击的统计数据。
针对XSS的常见防御
可信任的输入
它是否符合预期的模式?
永不反射不信任的数据
上下文编码(Java/Attribute/HTML/CSS)。
本文链接:https://gbhackers.com/xsser-automated-framework-detectexploit-report-xss-vulnerabilities/
点击收藏 | 0
关注 | 1
打赏