mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-13 14:53:03 +00:00
4.4 KiB
4.4 KiB
XSS工具
☁️ HackTricks云平台 ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- 你在一家网络安全公司工作吗?你想在HackTricks中看到你的公司广告吗?或者你想获得PEASS的最新版本或下载HackTricks的PDF吗?请查看订阅计划!
- 发现我们的独家NFTs收藏品The PEASS Family
- 获得官方PEASS和HackTricks周边产品
- 加入 💬 Discord群组 或 Telegram群组 或 关注我在Twitter上的🐦@carlospolopm。
- 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享你的黑客技巧。
XSStrike
git clone https://github.com/s0md3v/XSStrike.git
cd XSStrike
pip install -r requirements.txt
python xsstrike.py
python xsstrike.py -u "http://SERVER_IP:PORT/index.php?task=test"
基本用法(Get):
python3 xsstrike.py --headers -u "http://localhost/vulnerabilities/xss_r/?name=asd"
基本用法(Post):
python xsstrike.py -u "http://example.com/search.php" --data "q=query"
爬行(默认深度为2):
python xsstrike.py -u "http://example.com/page.php" --crawl -l 3
查找隐藏参数:
python xsstrike.py -u "http://example.com/page.php" --params
额外选项:
--headers #设置自定义头部(如cookies)。每次都需要设置
--skip-poc
--skip-dom #跳过DOM XSS扫描
BruteXSS
git clone https://github.com/rajeshmajumdar/BruteXSS
用于使用负载列表和图形用户界面查找易受攻击的(GET或POST)参数的XSS工具。
无法配置自定义标头(如cookie)。
XSSer
https://github.com/epsylon/xsser
已在Kali中安装。
完整的用于查找XSS的工具。
基本用法(GET):
该工具不发送负载:(
XSSCrapy
git clone https://github.com/DanMcInerney/xsscrapy
不推荐使用。输出过多且无效。
Dalfox
https://github.com/hahwul/dalfox
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- 你在一家网络安全公司工作吗?想要在HackTricks中看到你的公司广告吗?或者想要获取PEASS的最新版本或下载PDF格式的HackTricks吗?请查看订阅计划!
- 发现我们的独家NFTs收藏品——The PEASS Family
- 获取官方PEASS和HackTricks周边产品
- 加入💬 Discord群组或电报群组,或者关注我在Twitter上的🐦@carlospolopm。
- 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享你的黑客技巧。