一款功能全面的XSS扫描器-XSStrike
https://github.com/s0md3v/XSStrike
XSStrike 是一个跨站点脚本检测套件,配备了四个手写解析器、一个智能负载生成器、一个强大的模糊引擎和一个非常快速的爬虫。
XSStrike 不是像所有其他工具那样注入有效负载并检查它的工作原理,而是使用多个解析器分析响应,然后制作通过与模糊引擎集成的上下文分析保证工作的有效负载。以下是 XSStrike 生成的有效载荷的一些示例:
}]};(confirm)()//\
<A%0aONMouseOvER%0d=%0d[8].find(confirm)>z
</tiTlE/><a%0donpOintErentER%0d=%0d(prompt)``>z
</SCRiPT/><DETAILs/+/onpoINTERenTEr%0a=%0aa=prompt,a()//
除此之外,XSStrike 还具有爬行、模糊测试、参数发现、WAF 检测功能。它还扫描 DOM XSS 漏洞。
主要特点
- 反射和 DOM XSS 扫描
- 多线程爬取
- 上下文分析
- 可配置核心
- WAF检测与规避
- 过时的 JS 库扫描
- 智能有效载荷生成器
- 手工制作的 HTML 和 JavaScript 解析器
- 强大的模糊引擎
- 盲 XSS 支持
- 高度研究的工作流程
- 完整的 HTTP 支持
- 来自文件的蛮力有效载荷
- 由Photon、Zetanize和Arjun提供支持
- 有效载荷编码
浙公网安备 33010602011771号