快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

XSSer:自动化XSS漏洞检测及行使工具

XSS是一种无比常见的漏洞类型,它的影响无比的广泛并且很容易的就能被检测到。

攻击者可以在未经验证的情形下,将不受信任的JavaScript片段插入到你的应用程序中,然后这个JavaScript将被走访目标站点的受害者执行【涉猎更多】。

跨站点“Scripter”(又名XSSer)是一个自动化框架,网络黑客,用于检测、行使和讲演基于Web应用程序中的XSS漏洞

它包含多个尝试绕过某些过滤器的选项,和种种特殊的代码注入手艺。

装置XSSer – XSS

XSSer支持多平台运行。它需要Python以及下列库:

- python-pycurl - Python bindings to libcurl
- python-xmlbuilder - create xml/(x)html files - Python 2.x
- python-beautifulsoup - error-tolerant HTML parser for Python
- python-geoip - Python bindings for the GeoIP IP-to-country resolver library

在基于Debian的体系上装置

sudo apt-get install python-pycurl python-xmlbuilder python-beautifulsoup python-geoip

使用

显示帮助信息“xsser -h”

root@kali:~# xsser -h

Xsserscan1.jpg

启动简单的注入攻击

root@kali:~# xsser -u “http://192.168.169.130/xss/example1.php?name=hacker”

2XSSerscan1 (1).jpg

3XSSerscan1-1.jpg

选择“google”作为搜索引擎从Dork注入:

root@kali:~# xsser –De “google” -d “search.php?q=”

4XSSER2scan.jpg

在这个KaliLinux教程中,从URL执行多个注入,自动有用载荷,并确立反向连接。

xsser -u “http://192.168.169.130/xss/example1.php?name=hacker” –auto –reverse-check -s

5XSSERScan.jpg

简单的URL注入,使用GET,Cookie注入并使用DOM shadow

xsser -u “http://192.168.169.130/xss/example1.php?name=hacker” -g “/path?vuln=” –Coo –Dom –Fp=”vulnerablescript”

6XSSERscan4-1.jpg

7XSSERscan4-2.jpg8XSSERscan4-3.jpg

启发式参数过滤

root@kali:~# xsser -u “http://192.168.169.130/xss/example1.php?name=hacker” –heuristic

9XSSER5scan.jpg

10XSSER5-1scan.jpg

启动GUI界面

root@kali:~# xsser –gtk

你也能够将TOR代办署理与XSSer一块儿使用。

XSSER自动化框架来检测,行使以及讲演XSS漏洞

首要特性

同时使用GET以及POST要领注入。

包括种种过滤器以及绕过手艺。

可以与命令行以及GUI一块儿使用。

将提供攻击的具体统计数据。

XSS防御

对style属性内里的数据进行严格的检查,并且对于用户输出到xss内里的内容进行适量的CSS编码。

行严格的JavascriptEncode,将某些字符本义,如 ” 变成 \” ,’ 变成 \’ 等等。

使用 HTMLEncode 编码,保障你从js输出到HTML的元素以及属性不会离开你的控制。

使用 JavascriptEncode,对事故内里的js代码进行编码。

对var变量进行HtmlEncode,那么我就无论怎么样也构建不了<>任何元素了。也就不可能有<script> 或新建元素行使Onload事故等。

*参考来源:gbhackers, secist 编译,

您可能还会对下面的文章感兴趣: