快速、直接的XSS漏洞检测爬虫 – XSScrapy
- - FreeBuf.COMXSScrapy是一个快速、直接的XSS漏洞检测爬虫,你只需要一个URL,它便可以帮助你发现XSS跨站脚本漏洞. XSScrapy的XSS漏洞攻击测试向量将会覆盖. Http头中的Referer字段
User-Agent字段
Cookie
表单(包括隐藏表单)
URL参数
RUL末尾,如 www.example.com/
跳转型XSS.
XSScrapy是一个快速、直接的XSS漏洞检测爬虫,你只需要一个URL,它便可以帮助你发现XSS跨站脚本漏洞。
XSScrapy的XSS漏洞攻击测试向量将会覆盖
Http头中的Referer字段 User-Agent字段 Cookie 表单(包括隐藏表单) URL参数 RUL末尾,如 www.example.com/<script>alert(1)</script> 跳转型XSS
因为Scrapy并不是一个浏览器,所以对AJAX无能为力,我将会在未来努力实现这些功能,尽管并不容易:)
使用方法
基本检测命令
./xsscrapy.py -u http://something.com
如果你需要登陆的话,加上账号、密码作为参数即可
./xsscrapy.py -u http://something.com/login_page -l loginname -p pa$$word
检测结果将会存储在XSS-vulnerable.txt.
帮我写一个能提取pentesterlab xss漏洞分析
- - JavaScript - Web前端 - ITeye博客pentesterlab简介. pentesterlab官方定义自己是一个简单又十分有效学习渗透测试的演练平台. pentesterlab环境搭建. 官方提供了一个基于debian6的镜像,官网下载镜像,使用vmware建立一个虚拟机,启动即可. ps:官方文档建议做一个host绑定,方便后面使用.