摘要

XSSer——用于检测和利用XSS漏洞的自动Web测试框架工具
XSS是一种非常常见的漏洞类型，它分布非常广泛，且比较容易被检测到。
攻击者可以在无需验证的情况下将不受信任的JavaScript片段插入到应用程序中。然后，该JavaScript片段将会被访问目标站点的受害者执行。https://gbhackers.com/a3-cross-site-scripting-xss/
跨站点“Scripter”(又名Xsser)是一个自动框架，用于检测、利用和报告基于Web的应用程序中的XSS漏洞。
它包含几个可以绕过某些过滤器的选项，以及各种特殊的代码注入技术。

安装XSSer

Xsser可以在许多平台上运行。它需要Python和以下库：

- python-pycurl - Python bindings to libcurl
- python-xmlbuilder - create xml/(x)html files - Python 2.x
- python-beautifulsoup - error-tolerant HTML parser for Python
- python-geoip - Python bindings for the GeoIP IP-to-country resolver library

Debian上的安装为例：

sudo apt-get install python-pycurl python-xmlbuilder python-beautifulsoup python-geoip

用法

xsser -h列出所有功能：

root @ kali ：〜＃xsser -h

尝试简单的注入攻击

root @ kali ：〜＃xsser -u“http://192.168.169.130/xss/example1.php?name=hacker”

从Dork注入，选择“Google”作为搜索引擎：

root @ kali ：〜＃xsser -De“google”-d“search.php？q =”

在本KaliLinux教程中，使用自动payload从URL执行多次注入，建立反向连接。

xsser -u“http://192.168.169.130/xss/example1.php?name=hacker”-auto -reverse-check -s

简单的URL注入、使用GET、在Cookie上注入和使用DOM阴影

xsser -u“http://192.168.169.130/xss/example1.php?name=hacker”-g“/ path？vuln =”-Coo -Dom -Fp =“vulnerablescript”

启发式参数过滤

root@kali:~# xsser -u “http://192.168.169.130/xss/example1.php?name=hacker” –heuristic

启动GUI界面

root@kali:~# xsser –gtk

也可以将TOR代理与Xsser一起使用。

主要特点

使用GET和POST两种方法进行注入。
包括各种过滤器和绕过技术。
既可用于命令行，也可用于GUI。
提供详细的攻击的统计数据。

针对XSS的常见防御

可信任的输入
它是否符合预期的模式？
永不反射不信任的数据
上下文编码(Java/Attribute/HTML/CSS)。

本文链接：https://gbhackers.com/xsser-automated-framework-detectexploit-report-xss-vulnerabilities/