XSSFORK:新一代XSS自动扫描测试工具

标签: 工具 xss XSSFORK 扫描测试工具 | 发表时间:2019-12-26 15:00 | 作者:fuckerbox
出处:https://www.freebuf.com

什么是XSS漏洞呢 ?

XSS(Cross-site scripting)译为跨站脚本攻击,在日常的web渗透测试当中,是最常见的攻击方法之一,并占有很高的地位。它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大敌。

传统的 xss 探测工具:

一般都是采用 payload in response 的方式,即在发送一次带有 payload 的 http 请求后,通过检测响应包中 payload 的完整性来判断,这种方式缺陷,很多。

0×001 前言

xssfork是一款新一代xss漏洞探测工具,其开发的目的是帮助安全从业者高效率的检测xss安全漏洞。与传统检测工具相比xssfork使用的是 webkit内核的浏览器phantomjs,其可以很好的模拟浏览器。工具分为两个部分,xssfork和xssforkapi,其中xssfork在对网站fuzz xss的时候会调用比较多的payload。话不多说,一起来研究下这款工具吧 ?

github地址: https://github.com/bsmali4/xssfork

0×002 环境依赖

Python 2.x

相关python库(存在于项目requestments.txt中)

0×003安装教程

git clone https://github.com/bsmali4/xssfork

python2 -m pip install -rrequestments.txt

python2 xssfork.py -h

出现以下显示,代表安装成功

0×004内置Payload

工具的开发者收集了目前流行的xss payload,丰富的一批欧(目前内置存在的payload数量为70个),payload文件存在于xssfork\thirdparty\fuzz_dic\payloads.dic文件里面

并且会添加上各种闭合的情况

0×005内置编码方式

为了进行更加智能的进行测试,作者在测试时同时加入了绕过方式,提供了四种编码方式,供大家进行使用

现阶段提供了10进制,16进制,随机大小写,关键字叠加四个脚本

[0]10hex_encode 10进制

[1]16hex_encode 16进制

[2]addkeywords 关键字叠加

[3]uppercase 随机大小写

查看命令为:python xssfork.py –list

使用编码命令为:-t 脚本名称即可

0×006 使用场景

场景1 反射型xss

操作命令如下:

  python2 xssfork.py -u "http://xssfork.codersec.net/xssdemo.php?id=23"

场景2 带大小写绕过

操作命令如下:

  python2 xssfork.py -u "http://xssfork.codersec.net/xssdemo.php?id=23" -t uppercase

场景3 dom型xss

操作命令如下:

  python2 xssfork.py -u "http://xssfork.codersec.net/xssdemo.php?id=23"

场景4 post型xss

操作命令如下:

  python2 -u "http://xssfork.codersec.net/xssdemo.php" -d "name=123"

场景5 验证cookie型xss

操作命令如下:

  python2 xssfork.py -u "http://xssfork.codersec.net/xssdemo.php?id=23" -c "user=fdsfds;pass=123"

总结

xssfork感觉还是很不错的工具,希望能够在工作中给你一些帮助,最后感谢工具作者!谢谢

*本文作者:fuckerbox,转载请注明来自FreeBuf.COM

相关 [xssfork xss 测试] 推荐:

XSSFORK:新一代XSS自动扫描测试工具

- - FreeBuf互联网安全新媒体平台
XSS(Cross-site scripting)译为跨站脚本攻击,在日常的web渗透测试当中,是最常见的攻击方法之一,并占有很高的地位. 它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大敌.

XSStrike:基于Python的XSS测试工具

- - FreeBuf.COM | 关注黑客与极客
XSStrike 是一款用于探测并利用XSS漏洞的脚本. XSStrike目前所提供的产品特性:. 对参数进行模糊测试之后构建合适的payload. 使用payload对参数进行穷举匹配. 同时支持GET及POST方式. 大多数payload都是由作者精心构造. debian及kali系统可直接下载 本.deb安装包.

深掘XSS漏洞场景之XSS Rootkit

- jyf1987 - 80sec
深掘XSS漏洞场景之XSS Rootkit[完整修订版]. 众所周知XSS漏洞的风险定义一直比较模糊,XSS漏洞属于高危漏洞还是低风险漏洞一直以来都有所争议. XSS漏洞类型主要分为持久型和非持久型两种:. 非持久型XSS漏洞一般存在于URL参数中,需要访问黑客构造好的特定URL才能触发漏洞. 持久型XSS漏洞一般存在于富文本等交互功能,如发帖留言等,黑客使用的XSS内容经正常功能进入数据库持久保存.

XSS 探索 - big-brother

- - 博客园_首页
正常的页面被渗出了攻击者的js脚本,这些脚本可以非法地获取用户信息,然后将信息发送到attacked的服务端. XSS是需要充分利用输出环境来构造攻击脚本的. 非法获取用户cookie、ip等内容. 劫持浏览器,形成DDOS攻击. Reflected XSS:可以理解为参数型XSS攻击,攻击的切入点是url后面的参数.

前端xss攻击

- - SegmentFault 最新的文章
实习的时候在项目中有接触过关于xss攻击的内容,并且使用了项目组中推荐的一些常用的防xss攻击的方法对项目进行了防攻击的完善. 但一直没有时间深入了解这东西,在此,做一个简单的梳理. xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入的恶意html代码会被执行,从而达到恶意用户的特殊目的.

百度知道XSS漏洞

- - 博客园_首页
事情的起因是我一同学在百度知道上看到一个很奇怪的,正文带有连接的提问( 这里),正常来说,这种情况是不可能出现的. 我条件反射的想到了:XSS漏洞. 通过查看源代码,我马上发现了问题的根源:未结束的标签.
帮我写一个能提取

pentesterlab xss漏洞分析

- - JavaScript - Web前端 - ITeye博客
pentesterlab简介. pentesterlab官方定义自己是一个简单又十分有效学习渗透测试的演练平台. pentesterlab环境搭建. 官方提供了一个基于debian6的镜像,官网下载镜像,使用vmware建立一个虚拟机,启动即可. ps:官方文档建议做一个host绑定,方便后面使用.

XSS攻击及防御

- - BlogJava-qileilove
XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性. 其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的.

XSS攻击技术详解

- - BlogJava-qileilove
  XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆. web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中. 比如这些代码包括HTML代码和客户端脚本. 攻击者利用XSS漏洞旁路掉访问控制--例如同源策略(same origin policy).

XSS攻击及防御

- - 互联网 - ITeye博客
       本文来自: 高爽|Coder,原文地址: http://blog.csdn.net/ghsau/article/details/17027893,转载请注明.         XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性.