4.8 KiB
Outils XSS
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les PLANS D'ABONNEMENT !
- Découvrez The PEASS Family, notre collection exclusive de NFTs
- Obtenez le swag officiel PEASS & HackTricks
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez moi sur Twitter 🐦@carlospolopm.
- Partagez vos astuces de piratage en soumettant des PR au dépôt hacktricks et au dépôt hacktricks-cloud.
XSStrike
git clone https://github.com/s0md3v/XSStrike.git
cd XSStrike
pip install -r requirements.txt
python xsstrike.py
python xsstrike.py -u "http://SERVER_IP:PORT/index.php?task=test"
Utilisation de base (Get) :
python3 xsstrike.py --headers -u "http://localhost/vulnerabilities/xss_r/?name=asd"
Utilisation de base (Post) :
python xsstrike.py -u "http://example.com/search.php" --data "q=query"
Crawling (profondeur par défaut = 2) :
python xsstrike.py -u "http://example.com/page.php" --crawl -l 3
Trouver des paramètres cachés :
python xsstrike.py -u "http://example.com/page.php" --params
Extra :
--headers #Définir des en-têtes personnalisés (comme les cookies). Il est nécessaire de les définir à chaque fois
--skip-poc
--skip-dom #Ignorer la recherche de XSS dans le DOM
BruteXSS
git clone https://github.com/rajeshmajumdar/BruteXSS
Outil pour trouver les paramètres vulnérables (GET ou POST) à XSS en utilisant une liste de payloads avec une interface graphique.
Les en-têtes personnalisés (comme les cookies) ne peuvent pas être configurés.
XSSer
https://github.com/epsylon/xsser
Déjà installé dans Kali.
Outil complet pour trouver des XSS.
Utilisation de base (GET):
L'outil n'envoie pas le payload :(
XSSCrapy
git clone https://github.com/DanMcInerney/xsscrapy
Non recommandé. Beaucoup de sorties inutiles et cela ne fonctionne pas correctement.
Dalfox
https://github.com/hahwul/dalfox
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les PLANS D'ABONNEMENT !
- Découvrez The PEASS Family, notre collection exclusive de NFTs
- Obtenez le swag officiel PEASS & HackTricks
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez moi sur Twitter 🐦@carlospolopm.
- Partagez vos astuces de piratage en soumettant des PR au repo hacktricks et au repo hacktricks-cloud.