xsser

1、介绍

自动化xss漏洞挖掘 – xsser_哔哩哔哩_bilibili

kali默认安装,用于扫描xss漏洞。

官网:

https://xsser.03c8.net/

安装:

$ sudo apt install xsser

图形化启动:

└─$ xsser --gtk  

使用教程:

XSSer:自动化XSS漏洞检测及利用工具 – FreeBuf网络安全行业门户

2、原理

访问官网,有提到xsser的原理。

3、图形化启动

以dvwa 反射型xss low作为测试。

(1)启动命令

xsser --gtk

  • 下方的Fly是作为公共模块
  • 每次点击Fly,之后可能出现LAND,LANDING,这是测试过程中,等待即可
  • 每次运行,都会对主输出面板进行清空

4、命令行实战dvwa 反射型 low

xsser -u 'http://192.168.93.1/dvwa' -g 'vulnerabilities/xss_r/?name=XSS' --cookie="PHPSESSID=8o52kr8v0m63dbga2hs2j7bao6; security=low"
  • 测试时需要指定测试的点为XSS,dvwa是需要cookie的

根据测试结果,将hash替换为一个payload,测试成功,注意设置等级是低级。

http://127.0.0.1/dvwa/vulnerabilities/xss_r/?name=%27%3E%3Cscript%3Ealert(123)%3C/script%3E

 

posted @   挖洞404  阅读(192)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· 没有源码,如何修改代码逻辑?
· PowerShell开发游戏 · 打蜜蜂
· 在鹅厂做java开发是什么体验
· WPF到Web的无缝过渡:英雄联盟客户端的OpenSilver迁移实战
点击右上角即可分享
微信分享提示