简介

XSStrike 是一款用于探测并利用XSS漏洞的脚本

XSStrike目前所提供的产品特性:

对参数进行模糊测试之后构建合适的payload

使用payload对参数进行穷举匹配

内置爬虫功能

检测并尝试绕过WAF

同时支持GET及POST方式

大多数payload都是由作者精心构造

误报率极低

debian及kali系统可直接下载 本.deb安装包

通用安装方法

使用如下命令进行下载:

完成下载之后,进入XSStrike目录:

接下来使用如下命令安装依赖模块:

完成安装,使用如下命令即可运行XSStrike:

注意:本脚本仅支持Python 2.7

使用说明

这时便可以键入目标URL,但请通过插入”d3v

例如:target.com/search.php?q=d3v&category=1

键入目标URL之后,XSStrike将检测该目标是否有WAF保护,如果不受WAF保护你将看到下面4个选项

1. Fuzzer: 检测输入内容是如何在网页下进行反映的,之后据此尝试构建payload

2. Striker: 对所有参数逐一进行穷举匹配,并在浏览器窗口中生成POC

3. Spider: 提取目标页面上所有存在的链接,并对这些链接进行XSS测试

4. Hulk: 使用了一种不同寻常的方式,直接无视掉输入所对应的网页内容变化。其有一个 polyglots 列表以及可靠的payload,它会逐一在目标参数中键入并在浏览器窗口中打开这些组合URL

XSStrike同样也可以绕过WAF

XSStrike 也支持 POST 方式

你也可 向 XSStrike 提供 cookies

与其他使用蛮力算法的程序不同,XSStrike有着少而精的payload,其中大多数都是由作者精心构造的。

原文链接:http://www.freebuf.com/sectool/142044.html

python语言中strike_基于Python的XSS测试工具XSStrike使用方法相关推荐

  1. python语言中mod_mod在python中怎么用

    MOD是取模运算符. 语法 MOD ( a, b) 通常情况下取模运算(mod)和求余(rem)运算被混为一谈,因为在大多数的编程语言里,都用'%'符号表示取模或者求余运算.在这里要提醒大家要十分注意 ...

  2. python global函数_如何使用python语言中的global关键字获取函数值

    在python语言中,如果在函数外层定义了一个全局变量a,函数内部又有一个同名的局部变量,想要这个全局变量的值改成为局部变量的值,可以使用global.下面利用一个实例说明如何实现这个场景,操作如下: ...

  3. python模块调用的用法_如何使用Python语言中的random模块调用方法

    Python语言中的random模块,包含了很多方法属性,可以直接调用这些方法和设置属性.根据不同的方法展示不同的内容.下面利用几个实例查看random模块中的方法,操作如下: 工具/原料 Pytho ...

  4. Python之pip:Python语言中的pip的简介、安装、使用方法之详细攻略

    Python之pip:Python语言中的pip的简介.入门.使用方法之详细攻略 目录 pip的简介 pip的安装 1.Linux之Ubuntu系统安装pip3 pip的使用方法 1.pip命令集合 ...

  5. python语言中with as的用法使用详解

    本篇文章主要介绍了python语言中with as的用法使用详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考.一起跟随小编过来看看吧 With语句是什么? 有一些任务,可能事先需要设置,事后做 ...

  6. python 计算机程序设计-计算机编程语言中,为何Python独得恩宠?

    原标题:计算机编程语言中,为何Python独得恩宠? 截止到2019年6月,根据Indeed网站的统计分析,美国Python开发人员的平均年薪为117,822美元. 相比Java从业者的年薪 $102 ...

  7. 关于python语言中缩进的说法_以下关于Python语言中“缩进”说法正确的是:

    [多选题]From the perspective of the production enterprise (the content is more extensive), any differen ...

  8. 下列表达式在python中是非法的_在Python语言中,以下非法的表达式是( )

    [单选题]6.9 下列各式避雷器放电电压的说法错误的是(     ) [单选题]下列哪种数据类型是整型() [判断题]修剪的快捷命令键是rt [单选题]已知x,y=" ",-1:则 ...

  9. 在python语言中可作为源文件后缀名的是_在Python语言中,可以作为源文件后缀名的是( )_学小易找答案...

    [多选题]在2013清单计价中,其他项目界面,包括( ) [多选题]在分部分项工程清单下,添加一项定额的方法有( ) [单选题]下列各项中,关于企业无法查明原因的现金溢余,经批准后应贷记的会计科目是( ...

  10. python语言中ch_已知在Python语言中 upper() 函数可以将英文小写字母转化为大写字母,例如: 'cpda'.upper() CPDA 则下列语句的输出结果为 CHINACPD...

    已知在Python语言中 upper() 函数可以将英文小写字母转化为大写字母,例如: >>> 'cpda'.upper() CPDA 则下列语句的输出结果为 CHINACPDA a ...

最新文章

  1. idea查看svn前分支提交_SVN与Git的区别,读完之后,大部分程序员都收藏了...
  2. 【SQL进阶】03.执行计划之旅1 - 初探
  3. 基于OpenCV实现图像线性变化
  4. 浏览器渲染原理 记录备份
  5. js创建对象,用函数实现对象创建,并实现内函数共享
  6. ie浏览器在线使用_教师资格证报名使用的不是ie系列浏览器怎么办?
  7. 实用小软件实现Mac读写ntfs U盘 移动硬盘
  8. Android开发笔记01-TextView01
  9. 华为二手价格表(最新2022.2.16)
  10. Go Slice实现原理分析
  11. linux 查询系统io,Linux系统IO实时监控iostat命令详解
  12. 财务报表包含哪些表?是季报还是月报?
  13. Serverless无服务器介绍、原理及应用场景分析
  14. project info:
  15. 2017 php经典面试题,2017最新PHP经典面试题目汇总(上篇)
  16. android六轴传感器,6轴传感器、IP67防水:AMAZFIT米动智芯2 上架有品
  17. 检出三聚氰胺婴幼儿配方乳粉企业名单
  18. 全球地壳模型 crust 1.0
  19. 《纪念碑谷》(Monument Valley) 系列游戏的空间结构是如何设计的?
  20. 关于APP上语音播报的完整实现(iOS篇)

热门文章

  1. LightGBM算法解析
  2. 半个月使用rust语言的体验
  3. C++标准程序库读书笔记-第四章通用工具
  4. 新浪微盘等大批网盘将关停 你的私藏文件导出来了吗?
  5. 【VS2010学习笔记】【错误调试】error LNK1123:转换到COFF期间失败;文件无效或者损坏
  6. 智能优化算法:树种算法-附代码
  7. 普通卷积、转置卷积、空洞卷积(dilated convolution、Atrous Convolution)
  8. 从零基础入门Tensorflow2.0 ----九、44.5 keras转换成具体函数
  9. 机器学习——seaborn可视化
  10. mean shift