搜索
查看: 1379|回复: 0

XSS-Scanner使用学习

[复制链接]

145

主题

235

帖子

516

积分

高级会员

中国黑客

Rank: 4

积分
516
QQ
发表于 2021-1-11 17:08:47 | 显示全部楼层 |阅读模式


XSS-Scanner 是跨站点脚本(XSS),是最著名的 Web 应用程序漏洞之一。它甚至在 OWASP Top 10 项目中都有专门的章节,并且在漏洞赏金计划中是一个极受追捧的漏洞。 扫描程序从用户处获取链接,并通过在输入位置注入恶意脚本来扫描网站是否存在 XSS 漏洞。注入发生在名为 Chromium 的无头浏览器中,并由 Puppeteer 自动化控制。

xss.jpg

原理

查找目标: 在第一步中,该工具将尝试识别页面上的所有位置,包括表单,URL,标题等中的可注入参数。 测试 XSS: 对于上一步中发现的每个位置,扫描仪都会尝试检测参数是否容易受到跨站点脚本测试。该工具注入了一段 JavaScript 代码,其中包括一些特殊的 HTML 字符并且它将尝试查看是否在不进行消毒的情况下将它们返回到响应页面中。如果该工具检测到至少一个漏洞,它将返回该网站具有 XSS 漏洞。

Git clone https://github.com/MariaGarber/XSS-Scanner.git
cd XSS-Scanner
npm install
npm start

使用

打开浏览器访问 http://localhost:4000 即可。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x

相关帖子

谁有敬业福啊!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表