XSStrike
XSStrike
XSStrike 是一款高级 XSS 检测工具,使用多种技术检测和利用 XSS 漏洞。
基础使用
基础扫描
python xsstrike.py -u "https://target.com/page?param=value"
模糊测试模式
python xsstrike.py -u "https://target.com/page" --fuzzer
暴力破解模式
python xsstrike.py -u "https://target.com/page" --brute
从文件读取 URL
python xsstrike.py -l urls.txt
常用参数
| 参数 |
描述 |
| -u |
目标 URL |
| -l |
URL 列表文件 |
| –fuzzer |
模糊测试模式 |
| –brute |
暴力破解模式 |
| –payload |
自定义 payload |
| –headers |
自定义头 |
| –timeout |
超时时间 |
功能特性
- 多种检测 - 多种 XSS 检测技术
- Payload 生成 - 智能 payload 生成
- WAF 绕过 - WAF 检测和绕过
- DOM 扫描 - DOM XSS 检测
- 上下文分析 - 智能上下文识别
检测技术
- HTML 上下文 - 标签内注入
- 属性上下文 - 属性值注入
- JavaScript 上下文 - JS 代码注入
- DOM 上下文 - DOM 操作注入
- 事件处理器 - 事件属性注入
使用示例
# 基本扫描
python xsstrike.py -u "https://target.com/search?q=test"
# 模糊测试
python xsstrike.py -u "https://target.com/search?q=test" --fuzzer
# 自定义 payload
python xsstrike.py -u "https://target.com/search?q=test" --payload "<script>alert(1)</script>"
# 从文件读取
python xsstrike.py -l urls.txt
# 详细输出
python xsstrike.py -u "https://target.com/search?q=test" -v
参考资源