xsser

1、介绍

自动化xss漏洞挖掘 – xsser_哔哩哔哩_bilibili

kali默认安装,用于扫描xss漏洞。

官网:

https://xsser.03c8.net/

安装:

─$ sudo apt install xsser

图形化启动:

└─$ xsser --gtk  

使用教程:

XSSer:自动化XSS漏洞检测及利用工具 – FreeBuf网络安全行业门户

2、原理

访问官网,有提到xsser的原理。

3、图形化启动

以dvwa 反射型xss low作为测试。

(1)启动命令

xsser --gtk

  • 下方的Fly是作为公共模块
  • 每次点击Fly,之后可能出现LAND,LANDING,这是测试过程中,等待即可
  • 每次运行,都会对主输出面板进行清空

4、命令行实战dvwa 反射型 low

xsser -u 'http://192.168.93.1/dvwa' -g 'vulnerabilities/xss_r/?name=XSS' --cookie="PHPSESSID=8o52kr8v0m63dbga2hs2j7bao6; security=low"
  • 测试时需要指定测试的点为XSS,dvwa是需要cookie的

根据测试结果,将hash替换为一个payload,测试成功,注意设置等级是低级。

http://127.0.0.1/dvwa/vulnerabilities/xss_r/?name=%27%3E%3Cscript%3Ealert(123)%3C/script%3E

 

posted @ 2023-04-16 16:42  挖洞404  阅读(125)  评论(0编辑  收藏  举报