av高清视网站,黄色AV电影院在线观看网址,91精品电影

XSpear XSS掃描器

XSpear是一款基于RubyGems的的XSS漏洞掃描器。擁有常見(jiàn)的XSS漏洞掃描攻擊測(cè)試功能。還可進(jìn)行參數(shù)分析。

https://github.com/hahwul/XSpear

XSS漏洞掃描器

主要特點(diǎn)

基于模式匹配的XSS掃描
檢測(cè)alertconfirmprompt無(wú)頭瀏覽器上的事件（使用Selenium）
測(cè)試XSS保護(hù)旁路和反射參數(shù)的請(qǐng)求/響應(yīng)
- 反射的參數(shù)
- 過(guò)濾測(cè)試event handlerHTML tagSpecial Char
測(cè)試盲XSS（使用XSS Hunter，ezXSS，HBXSS，等等所有網(wǎng)址盲測(cè)...）
動(dòng)態(tài)/靜態(tài)分析
- 查找SQL錯(cuò)誤模式
- 分析Security頭（CSPHSTSX-frame-options，XSS-protection等..）
- 分析其他標(biāo)題..（服務(wù)器版本，內(nèi)容類型等...）
從Raw文件掃描（Burp suite，ZAP Request）
在ruby代碼上運(yùn)行的XSpear（使用Gem庫(kù)）
顯示table base cli-report和filtered rule，testing raw query（網(wǎng)址）
在所選參數(shù)下進(jìn)行測(cè)試
支持輸出格式clijson
- cli：摘要，過(guò)濾規(guī)則（params），Raw Query
支持詳細(xì)級(jí)別（退出/正常/原始數(shù)據(jù)）
支持自定義回調(diào)代碼，以測(cè)試各種攻擊向量

XSpear安裝

安裝

$ gem install XSpear

或者本地安裝特定版本

$ gem install XSpear-{version}.gem

將此行添加到應(yīng)用程序的Gemfile：

gem 'XSpear'

然后執(zhí)行

$ bundle

依賴gems

colorize selenium-webdriver terminal-table

如果將其配置為在Gem庫(kù)中自動(dòng)安裝，出現(xiàn)依賴問(wèn)題，請(qǐng)嘗試：

$ gem install colorize
$ gem install selenium-webdriver
$ gem install terminal-table

XSpear cli使用

Usage: xspear -u [target] -[options] [value]
[ e.g ]
$ ruby a.rb -u 'https://www.hahwul.com/?q=123' --cookie='role=admin'


[ Options ]
    -u, --url=target_URL             [required] Target Url
    -d, --data=POST Body             [optional] POST Method Body data
--headers=HEADERS            [optional] Add HTTP Headers
--cookie=COOKIE              [optional] Add Cookie
--raw=FILENAME               [optional] Load raw file(e.g raw_sample.txt)
    -p, --param=PARAM                [optional] Test paramters
    -b, --BLIND=URL                  [optional] Add vector of Blind XSS
                                      + with XSS Hunter, ezXSS, HBXSS, etc...
                                      + e.g : -b https://hahwul.xss.ht
    -t, --threads=NUMBER             [optional] thread , default: 10
    -o, --output=FILENAME            [optional] Save JSON Result
    -v, --verbose=1~3                [optional] Show log depth
                                      + Default value: 2
                                      + v=1 : quite mode
                                      + v=2 : show scanning log
                                      + v=3 : show detail log(req/res)
    -h, --help                       Prints this help
--version                    Show XSpear version
--update                     Update with online

結(jié)果類型

（I）NFO：獲取信息（例如sql錯(cuò)誤，過(guò)濾規(guī)則，反射的參數(shù)等...）
（V）UNL：易受攻擊的XSS，已檢查警報(bào)/提示/確認(rèn)與Selenium
（L）OW：低級(jí)問(wèn)題
（M）EDIUM：中等水平問(wèn)題
（H）IGH：高級(jí)別問(wèn)題

案例分析

掃描XSS

$ xspear -u "http://testphp.vulnweb.com/search.php?test=query" -d "searchFor=yy"

json輸出

$ xspear -u "http://testphp.vulnweb.com/search.php?test=query" -d "searchFor=yy" -o json -v 1

詳細(xì)日志

$ xspear -u "http://testphp.vulnweb.com/search.php?test=query" -d "searchFor=yy" -v 3

設(shè)置線程

$ xspear -u "http://testphp.vulnweb.com/search.php?test=query" -t 30

在所選參數(shù)下進(jìn)行測(cè)試

$ xspear -u "http://testphp.vulnweb.com/search.php?test=query&cat=123&ppl=1fhhahwul" -p cat,test

測(cè)試盲目xss

$ xspear -u "http://testphp.vulnweb.com/search.php?test=query" -b "https://hahwul.xss.ht"

此外，還可以自已添加模塊，編寫(xiě)測(cè)試功能等等，更多見(jiàn)readme。

審核編輯：李倩

聲明：本文內(nèi)容及配圖由入駐作者撰寫(xiě)或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人，不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用，如有內(nèi)容侵權(quán)或者其他違規(guī)問(wèn)題，請(qǐng)聯(lián)系本站處理。舉報(bào)投訴