XSS工具

☁️ HackTricks云平台 ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

你在一家网络安全公司工作吗？你想在HackTricks中看到你的公司广告吗？或者你想获得PEASS的最新版本或下载HackTricks的PDF吗？请查看订阅计划！
发现我们的独家NFTs收藏品The PEASS Family
获得官方PEASS和HackTricks周边产品
加入 💬 Discord群组 或 Telegram群组 或关注我在Twitter上的🐦@carlospolopm。
通过向hacktricks repo和hacktricks-cloud repo提交PR来分享你的黑客技巧。

XSStrike

git clone https://github.com/s0md3v/XSStrike.git
cd XSStrike
pip install -r requirements.txt
python xsstrike.py

python xsstrike.py -u "http://SERVER_IP:PORT/index.php?task=test"

基本用法（Get）：
python3 xsstrike.py --headers -u "http://localhost/vulnerabilities/xss_r/?name=asd"
基本用法（Post）：
python xsstrike.py -u "http://example.com/search.php" --data "q=query"
爬行（默认深度为2）：
python xsstrike.py -u "http://example.com/page.php" --crawl -l 3
查找隐藏参数：
python xsstrike.py -u "http://example.com/page.php" --params
额外选项：
--headers #设置自定义头部（如cookies）。每次都需要设置
--skip-poc
--skip-dom #跳过DOM XSS扫描

BruteXSS

git clone https://github.com/rajeshmajumdar/BruteXSS

用于使用负载列表和图形用户界面查找易受攻击的（GET或POST）参数的XSS工具。
无法配置自定义标头（如cookie）。

XSSer

https://github.com/epsylon/xsser
已在Kali中安装。
完整的用于查找XSS的工具。

基本用法（GET）：

该工具不发送负载:(

XSSCrapy

git clone https://github.com/DanMcInerney/xsscrapy

不推荐使用。输出过多且无效。

Dalfox

https://github.com/hahwul/dalfox

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

你在一家网络安全公司工作吗？想要在HackTricks中看到你的公司广告吗？或者想要获取PEASS的最新版本或下载PDF格式的HackTricks吗？请查看订阅计划！
发现我们的独家NFTs收藏品——The PEASS Family
获取官方PEASS和HackTricks周边产品
加入💬 Discord群组或电报群组，或者关注我在Twitter上的🐦@carlospolopm。
通过向hacktricks repo和hacktricks-cloud repo提交PR来分享你的黑客技巧。

4.4 KiB Raw Blame History Unescape Escape