这是一款xss探测工具
安装(python>=3.4)
git clone https://github.com/s0md3v/XSStrike.git
pip3 install -r requirements.txt
选项
选项 作用
-h, --help 显示帮助信息并退出
-u, --url 目标url
--data post方法的数据
-f, --file 从文件读取payloads
-t, --threads 线程数量
-l, --level 爬取级别
-t, --encode payload采取的编码
--json json格式的数据
--path 指定路径注入
--seeds 从文件加载url
--fuzzer fuzz工具
--update 更新
--timeout 超时时间
--params 寻找参数
--crawl 爬取
--proxy 使用代理
--blind 爬取时盲注
--skip 跳过确认等
--skip-dom 跳过dom检查
--headers 添加headers
-d, --delay 两次请求之间的延迟
利用pikachu靶场练习
1.get提交
python3 xsstrike.py -u "http://caichuanqi.cn/lab/WWW/CTF_1/vul/xss/xss_reflected_get.php?message=kobe&submit=submit" --skip -l 3
2.post提交(注意Cookie:后面有个空格)
python3 xsstrike.py -u "http://caichuanqi.cn/lab/WWW/CTF_1/vul/xss/xsspost/xss_reflected_post.php" --skip -l 3 --data="message=1&submit=submit" --headers="Cookie: ant[uname]=admin; ant[pw]=10470c3b4b1fed12c3baac014be15fac67c6e815; PHPSESSID=ack3h878inp1no“
文章摘自(25条消息) 网络安全-XSStrike中文手册(自学笔记)_lady_killer9的博客-CSDN博客_xsstrike
相似的xss工具
https://github.com/hahwul/dalfox
https://github.com/mandatoryprogrammer/xsshunter
Comments NOTHING