xsser
1、介绍
自动化xss漏洞挖掘 – xsser_哔哩哔哩_bilibili
kali默认安装,用于扫描xss漏洞。
官网:
https://xsser.03c8.net/
安装:
─$ sudo apt install xsser
图形化启动:
└─$ xsser --gtk
使用教程:
XSSer:自动化XSS漏洞检测及利用工具 – FreeBuf网络安全行业门户
2、原理
访问官网,有提到xsser的原理。
3、图形化启动
以dvwa 反射型xss low作为测试。
(1)启动命令
xsser --gtk
- 下方的Fly是作为公共模块
- 每次点击Fly,之后可能出现LAND,LANDING,这是测试过程中,等待即可
- 每次运行,都会对主输出面板进行清空
4、命令行实战dvwa 反射型 low
xsser -u 'http://192.168.93.1/dvwa' -g 'vulnerabilities/xss_r/?name=XSS' --cookie="PHPSESSID=8o52kr8v0m63dbga2hs2j7bao6; security=low"
- 测试时需要指定测试的点为XSS,dvwa是需要cookie的
根据测试结果,将hash替换为一个payload,测试成功,注意设置等级是低级。
http://127.0.0.1/dvwa/vulnerabilities/xss_r/?name=%27%3E%3Cscript%3Ealert(123)%3C/script%3E
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· 没有源码,如何修改代码逻辑?
· PowerShell开发游戏 · 打蜜蜂
· 在鹅厂做java开发是什么体验
· WPF到Web的无缝过渡:英雄联盟客户端的OpenSilver迁移实战