XssPy

Описание XssPy

XssPy – это инструмент на Python для поиска уязвимостей межсайтового скриптинга (XSS) в веб-сайтах. Этот инструмент первый в своём роде. Вместо того, чтобы просто проверить одну страницу, как делает большинство инструментов, этот инструмент для начала перемещается по веб-сайту и ищет все ссылки и поддомены. После этого он начинает сканирование каждого ввода (input) на каждой странице, которые найдены во время индексации. Он использует маленькую, но эффективную полезную нагрузку для поиска XSS уязвимостей.

Этот инструмент тестировался параллельно с платными сканерами уязвимостей, и большинство сканеров потерпели неудачу в выявлении уязвимостей, которые этот инструмент был способен найти. Более того, большинство платных инструментов сканируют только один сайт, тогда как XSSPY для начала ищет множество поддоменов и затем сканирует все ссылки вместе. Этот инструмент поставляется с:

  1. Коротким сканированием
  2. Комплексным сканированием
  3. Поиском субдоменов
  4. Проверкой каждого ввода (input) на каждой странице

Домашняя страница: https://github.com/faizann24/XssPy

Автор: Faizan Ahmad

Лицензия: MIT

Справка по XssPy

Использование 

xsspy адрес_сайта

В адресе сайта не нужно указывать “www” и “http”.

У программы имеется только одна необязательная опция: -e, которую нужно указывать после имени сайта, и которая означает комплекснок сканирование.

Если в выводе будет присутствовать “Xss found and the link is .. “, значит вы нашли XSS уязвимость. В противном случае программа проверяет ссылку за ссылкой.

Если вы нашли XSS уязвимость, вы можете попробовать следующую полезную нагрузку. 

<script>confirm(1)</script>
<svg onload=confirm(1)>

Руководство по XssPy

Страница man отсутствует.

Примеры запуска XssPy

python xsspy website.com # (Не пишите www.website.com ИЛИ http://www.website.com)

Установка XssPy

Установка в Kali Linux 

sudo pip install mechanize
git clone https://github.com/faizann24/XssPy.git
cd XssPy/
python XssPy.py website.com -e

Установка в BlackArch

Программа предустановлена в BlackArch.

Информация об установке в другие операционные системы будет добавлена позже.

Скриншоты XssPy

Это утилита командной строки.

Инструкции по XssPy

Ссылки на инструкции будут добавлены позже.

Близкие программы:

  • BruteXSS (100%)
  • XSSer (84.3%)
  • IronWASP (75.8%)
  • sqlmap (72.1%)
  • w3af (w3af_console) (68.5%)
  • WhatWaf (RANDOM - 52.6%)

    • Рекомендуется Вам:

    Comments are Closed