php xss漏洞扫描工具,XSS漏洞扫描器工具:XSpear
XSpear是一款基于RubyGems的的XSS漏洞扫描器。拥有常见的XSS漏洞扫描攻击测试功能。还可进行参数分析。
XSS漏洞扫描
主要特点
基于模式匹配的XSS扫描
检测alert confirm prompt无头浏览器上的事件(使用Selenium)
测试XSS保护旁路和反射参数的请求/响应
反射的参数
过滤测试 event handler HTML tag Special Char
测试盲XSS(使用XSS Hunter,ezXSS,HBXSS,等等所有网址盲测...)
动态/静态分析
查找SQL错误模式
分析Security头(CSP HSTS X-frame-options,XSS-protection等..)
分析其他标题..(服务器版本,内容类型等...)
从Raw文件扫描(Burp suite,ZAP Request)
在ruby代码上运行的XSpear(使用Gem库)
显示table base cli-report和filtered rule,testing raw query(网址)
在所选参数下进行测试
支持输出格式 cli json
cli:摘要,过滤规则(params),Raw Query
支持详细级别(退出/正常/原始数据)
支持自定义回调代码,以测试各种攻击向量
XSpear安装
安装
$ gem install XSpear
或者本地安装特定版本
$ gem install XSpear-{version}.gem
将此行添加到应用程序的Gemfile:
gem 'XSpear'
然后执行
$ bundle
依赖 gems
colorize selenium-webdriver terminal-table
如果您将其配置为在Gem库中自动安装,出现依赖问题,请尝试:
$ gem install colorize
$ gem install selenium-webdriver
$ gem install terminal-table
XSpear cli使用
Usage: xspear -u [target] -[options] [value]
[ e.g ]
$ ruby a.rb -u 'https://www.hahwul.com/?q=123' --cookie='role=admin'
[ Options ]
-u, --url=target_URL [required] Target Url
-d, --data=POST Body [optional] POST Method Body data
--headers=HEADERS [optional] Add HTTP Headers
--cookie=COOKIE [optional] Add Cookie
--raw=FILENAME [optional] Load raw file(e.g raw_sample.txt)
-p, --param=PARAM [optional] Test paramters
-b, --BLIND=URL [optional] Add vector of Blind XSS
+ with XSS Hunter, ezXSS, HBXSS, etc...
+ e.g : -b https://hahwul.xss.ht
-t, --threads=NUMBER [optional] thread , default: 10
-o, --output=FILENAME [optional] Save JSON Result
-v, --verbose=1~3 [optional] Show log depth
+ Default value: 2
+ v=1 : quite mode
+ v=2 : show scanning log
+ v=3 : show detail log(req/res)
-h, --help Prints this help
--version Show XSpear version
--update Update with online
结果类型
(I)NFO:获取信息(例如sql错误,过滤规则,反射的参数等...)
(V)UNL:易受攻击的XSS,已检查警报/提示/确认与Selenium
(L)OW:低级问题
(M)EDIUM:中等水平问题
(H)IGH:高级别问题
个案分析
扫描XSS
$ xspear -u "http://testphp.vulnweb.com/search.php?test=query" -d "searchFor=yy"
json输出
$ xspear -u "http://testphp.vulnweb.com/search.php?test=query" -d "searchFor=yy" -o json -v 1
详细日志
$ xspear -u "http://testphp.vulnweb.com/search.php?test=query" -d "searchFor=yy" -v 3
设置线程
$ xspear -u "http://testphp.vulnweb.com/search.php?test=query" -t 30
在所选参数下进行测试
$ xspear -u "http://testphp.vulnweb.com/search.php?test=query&cat=123&ppl=1fhhahwul" -p cat,test
测试盲目xss
$ xspear -u "http://testphp.vulnweb.com/search.php?test=query" -b "https://hahwul.xss.ht"
等等...
此外,你还可以自已添加模块,编写测试功能等等,更多见readme。
php xss漏洞扫描工具,XSS漏洞扫描器工具:XSpear相关推荐
- toxssin:一款功能强大的XSS漏洞扫描利用和Payload生成工具
关于toxssin toxssin是一款功能强大的XSS漏洞扫描利用和Payload生成工具,这款渗透测试工具能够帮助广大研究人员自动扫描.检测和利用跨站脚本XSS漏洞.该工具由一台HTTPS服务器组 ...
- Nessus漏洞扫描教程之使用Nmap工具扫描识别指纹
Nessus漏洞扫描教程之使用Nmap工具扫描识别指纹 Nmap工具的准备工作 当用户对Nessus工具有清晰的认识后,即可使用该工具实施扫描.但是,在扫描之前需要做一些准备工作,如探测网络中活动的主 ...
- Nessus漏洞扫描教程之安装Nessus工具
Nessus基础知识 Nessus号称是世界上最流行的漏洞扫描程序,全世界有超过75000个组织在使用它.该工具提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库.Nessus不同于传统的漏洞扫描软件 ...
- 局域网弱口令扫描工具_漏洞扫描软件AWVS的介绍和使用
什么是AWVS? Acunetix Web Vulnerability Scanner(AWVS)是用于测试和管理Web应用程序安全性的平台,能够自动扫描互联网或者本地局域网任何网站中是否存在漏洞,并 ...
- 免费开源漏洞扫描工具+商业级
Scanv 国内著名的商业级在线漏洞扫描.可以长期关注,经常会有免费活动.SCANV具备自动探测发现无主资产.僵尸资产的功能,并对资产进行全生命周期的管理.主动进行网络主机探测.端口探测扫描,硬件特性 ...
- 【网安神器篇】——WPScan漏洞扫描工具
作者名:Demo不是emo 主页面链接:主页传送门 创作初心:舞台再大,你不上台,永远是观众,没人会关心你努不努力,摔的痛不痛,他们只会看你最后站在什么位置,然后羡慕或鄙夷 座右铭:不要让时代的悲哀 ...
- 免费漏洞扫描工具,你的网站可能已经千疮百孔
众所周知,在网络攻击中,绝大多数的网络攻击都是利用漏洞攻击实现的,一旦网站存在漏洞,黑客可以轻易的发动sql注入.xss.CRSF攻击,从而造成网站篡改,数据库信息泄露,影响网站安全和企业形象.因此网 ...
- 漏洞扫描工具_Vulmap漏洞扫描工具
本文来源于https://github.com/zhzyker/vulmap 已与作者联系 作者同意发送本文章 Vulmap目前支持以下漏洞 +-------------------+-------- ...
- 漏洞扫描工具Vulmap
Vulmap是一款漏洞扫描工具, 可对Web容器.Web服务器.Web中间件以及CMS等Web程序进行漏洞扫描, 并且具备漏洞利用功能.相关测试人员可以使用vulmap检测目标是否存在特定漏洞, 并且 ...
- vulmap——漏洞扫描工具简介与使用教程
一.工具简介 vulmap是一款漏洞扫描工具, 可对Web容器.Web服务器.Web中间件以及CMS等Web程序进行漏洞扫描, 并且具备漏洞利用功能. 相关测试人员可以使用vulmap检测目标是否存在 ...
最新文章
- Java 未死,依然很牛逼!
- 输入URL到浏览器显示页面的过程,搜集各方面资料总结一下
- 路遥工具箱全面迁移至 .NET 6.0 并发布 3.0 版本及迁移记录详解
- 如何使用Hibernate将PostgreSQL枚举映射到JPA实体属性
- linux sd卡读写出错,linux系统SD卡读写问题
- mycli到底有多好用?
- matlab08a调节字体大小,MATLAB低通滤波器的设计代码
- .net 本地文件管理 代码_Gitee 在线解决代码冲突上线,解决冲突不再需要 Git 命令...
- 【转】 Android Performance Case Study(安卓绘图性能案例研究)
- Golang 入门系列(十三)用Beego开发web应用
- 190124每日一句
- TC软件概要设计文档(手机群控)
- 生活中的逻辑谬误06.德克萨斯神枪手
- 整个AppData目录挪到D盘方法
- 传微信要开直播业务:主流社交工具全面杀入直播战场
- idea 常用配置介绍(一)
- F检验为什么要求各比较组的方差齐…
- Android开发:开源库集合
- 邮箱服务之阿里云平台
- ESXI6.0 windows虚拟机 硬盘扩容实例...
热门文章
- android无法解码avcmp4,android - Android中的MediaCodec编码的H.264 avc视频无法播放 - 堆栈内存溢出...
- 冯诺依曼元胞计算机,冯诺依曼元胞自动机
- protobuf android 编译,Android 中protobuf 的安装,编译和使用
- 笔记本键盘扣安装注意事项(小技巧)
- 知悉未来的趋势 ---- 小评 创新者的窘境
- 酷派D530刷机指引之官方ROM
- 微信/qq/防撤回插件
- 小米8SE 开箱及体验
- 谷歌浏览器用的是什么内核
- C语言程序设计基础学习笔记简介