安科网

XSStrike工具的安装使用

kikaylee

kikaylee

2020-02-18

关注 关注

0x01简介

XSStrike 是一款用于探测并利用XSS漏洞的脚本

XSStrike目前所提供的产品特性:

对参数进行模糊测试之后构建合适的payload

使用payload对参数进行穷举匹配

内置爬虫功能

检测并尝试绕过WAF

同时支持GET及POST方式

大多数payload都是由作者精心构造

误报率极低

0x02下载安装

下载地址:https://github.com/s0md3v/XSStrike

最新版支持python3

windows、linux系统都可以运行

完成下载之后,进入XSStrike目录:

cd XSStrike

接下来使用如下命令安装依赖模块:

pip install -r requirements.txt

0x03使用方法

1.测试一个使用GET方法的网页:

python3 xsstrike.py -u "http://example.com/search.php?q=query"

2.测试POST数据:

python3 xsstrike.py -u "http://example.com/search.php" --data "q=query"python3 xsstrike.py -u "http://example.com/search.php" --data ‘{"q":"query"} --json‘

3.测试URL路径:

python3 xsstrike.py -u "http://example.com/search/form/query" --path

4.从目标网页开始搜寻目标并进行测试

python3 xsstrike.py -u "http://example.com/page.php" --crawl
您可以指定爬网的深度,默认2:-l
python3 xsstrike.py -u "http://example.com/page.php" --crawl -l 3

5.如果要测试文件中的URL,或者只是想添加种子进行爬网,则可以使用该--seeds选项:

python xsstrike.py --seeds urls.txt

6.查找隐藏的参数:

  通过解析HTML和暴力破解来查找隐藏的参数

python3 xsstrike.py -u "http://example.com/page.php" --params

7.盲XSS:爬行中使用此参数可向每个html表单里面的每个变量插入xss代码

python3 xsstrike.py -u http://example.com/page.php?q=query --crawl --blind

8.模糊测试--fuzzer

该模糊器旨在测试过滤器和Web应用程序防火墙,可使用-d选项将延迟设置为1秒

python3 xsstrike.py -u "http://example.com/search.php?q=query" --fuzzer

9.跳过DOM扫描

 在爬网时可跳过DOM XSS扫描,以节省时间

python3 xsstrike.py -u "http://example.com/search.php?q=query" --skip-dom

10.更新:

如果跟上--updata选项,XSStrike将检查更新。如果有更新的版本可用,XSStrike将下载更新并将其合并到当前目录中,而不会覆盖其他文件。

python3 xsstrike.py --update

python3 xss

kikaylee

kikaylee

0 关注 3 粉丝 0 动态

关注 关注

相关推荐

新方向、新功能:Python3.9 完整版面世了

本文转载自公众号“读芯术”。很显然,Python3.9是标志这一著名编程语言从旧路线演化到新路径的转折点。本文就将带大家探索其新功能,了解Python的未来走向。此次更新有两个重大变化,虽然直观上不受影响,但要开始注意了:作为一种语言,Python的发展将

chuckchen 2020-10-31

Linux系统安装Python3环境

再次运行python命令后就可以使用python命令窗口了。看到/usr/bin/python和/usr/bin/python2都是软链接,/usr/bin/python指向/usr/bin/python2,而/usr/bin/python2最终又指向/u

Will0 2020-10-12

Python3.9正式发布,16岁高中生自制「新特性必知图」

Python3.9,「千呼万唤始出来」。先来速看下此次发布版本的重点。PEP 584,为 dict 增加合并运算符。PEP 585,标准多项集中的类型标注泛型。PEP 614,放宽对装饰器的语法限制。PEP 616,移除前缀和后缀的字符串方法。PEP 59

Dreamhome 2020-10-09

关于Python3.9,你不可不知的4个新特性

在Python3.9,如果你有两个词典,现在可以用这些运算符进行合并和更新。这些是非常简单的操作,因此也是非常简单的功能,考虑到你可能经常执行这些操作,Python3.9 提供的这两个内置函数应该能让你非常爽。Python 3.9 的数学模块进行了不少的优

xirongxudlut 2020-09-28

Linux下Python3.6的安装及避坑指南

Python3在安装的过程中可能会用到各种依赖库,所以在正式安装Python3之前,需要将这些依赖库先行安装好。yum -y install zlib-devel bzip2-devel openssl-devel ncurses-devel sqlit

星辰大海的路上 2020-09-13

用个小技巧,趁你不备,rm -rf你的电脑

大家回想一下,你是不是遇到过这种情况:有时候,你访问一个网站,它突然给你下载了一个东西。特别是当你用 Chrome 的时候,浏览器直接就自动给你下载到“下载”文件夹里面去了,如下图所示:。而大多数时候,你只是把 Chrome 的这个提示关掉了,并没有去主

chaochao 2020-08-31

python3 在服务器上打印资产信息

url 为 资产信息接口地址,返回为json信息。

hanxia 2020-08-17

Mac上安装Python3教程

官网下载最新的版本的Python3. Mac默认的版本是2.7,所以需要配置版本为最新版本3.x. 编辑本地环境变量。在最后面添加python的路径

猪猪侠喜欢躲猫猫 2020-08-17

Python3.8安装Pygame教程步骤详解

今天我们就在之前安装过PyCharm的基础上,安装Pygame,下面是安装的步骤,希望能够帮到大家。OK,我们找到我们要的pygame:。切换完路径之后,使用pip install pygame-1.9.6-cp38-cp38-win_amd64.whl进

快递小可 2020-08-16

Python print() 函数

print()方法用于打印输出,最常见的一个函数。在 Python3.3 版增加了 flush 关键字参数。objects -- 复数,表示可以一次输出多个对象。输出多个对象时,需要用 , 分隔。sep -- 用来间隔多个对象,默认值是一个空格。end -

shengge0 2020-07-26

jupyter notebook 同时存在python3.5 和python3.6

# 更改里面的kernel.json文档中Python的路径调用,改为所需要的Python版本

巩庆奎 2020-07-21

什么是单元测试

单元测试是用来对一个模块、一个函数或者一个类来进行正确性检验的测试工作。如果测试通过则说明我们这个函数或功能能够正常工作,如果失败要么测试用例不正确,要么函数有bug需要修复。‘TEST‘: {‘CHARSET‘: ‘utf8‘, },

张文倩数据库学生 2020-07-19

Python3.8环境安装PyHook3

利用CMD窗口定位到解压缩的文件夹执行setup.py。将生成的文件放到C:\Python3.7\Lib\site-packages\中。2 .安装pythoncomhttps://sourceforge.net/projects/pywin32/file

xirongxudlut 2020-07-18

Python3入门系列之-----内置的文件操作模块OS

  在自动化测试中,经常需要查找操作文件,比如说查找配置文件,查找测试报告,经常要对大量文件和大量路径进行操作,这个时候就需要用到os模块。如果对软件测试、接口测试、自动化测试、技术同行、持续集成、面试经验交流。感兴趣可以进到902061117,群内会有不

Ericbig 2020-07-18

python 多线程 QTimer实现多线程

使用线程可以把占据长时间的程序中的任务放到后台去处理。程序的运行速度可能加快。每个独立的线程有一个程序运行的入口、顺序执行序列和程序的出口。但是线程不能够独立执行,必须依存在应用程序中,由应用程序提供多个线程执行控制。每个线程都有他自己的一组CPU寄存器,

kyelu 2020-07-09

在Window和Mac 下安装Python3 和Jupyter notebook

下载之后安装勾选PATH,自动添加到系统环境变量。Jupyter notebook 是一个基于网页的交互式应用程序,我们可以在网页上直接编写Python代码和运行代码,也可以编写说明文档。如果要关闭直接Ctrl+C关闭服务,关闭之前记得保存哦。

liangzhouqu 2020-07-07

Python3种格式化字符串方法

使用Python的伙伴们,经常会用到print输出日志进行调试,那么如何格式化输出字符串?今天跟大家继续分享关于Python的小知识。我们经常会用到%-formatting和str.format()来格式化,而在Python 3.6版本开始,增加了f-s

GuoSir 2020-06-28

第九天python3 闭包

  第四行不会报错,c已经在counter函数中定义过了,而且inc中的使用方式是为c的元素修改值,而不是重新定义;  第八行打印1,2;  第十行打印3,因为第九行的c和counter中的c不一样,而inc引用的是自由变量正式counter的函数;

chaigang 2020-06-27

linux集群部署深度学习平台Pytorch

# enable-shared 是必须要写的,否则后面会遇到错误提示:Command failed with rc=65536 make make install. 若出现python相关版本信息,说明安装成功。这样问题就解决了。

pythonxuexi 2020-06-25

python3与fastdfs分布式文件系统交互

注意:client.conf是从fdfs服务器上复制到django代码机器上的文件,需要将里面的base_path路径修改成存放client.conf的路径

joynet00 2020-06-21
kikaylee

kikaylee

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号