歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

如何使用XSpear完成XSS掃描與參數分析

來源:本站整理 作者:佚名 時間:2020-01-19 TAG: 我要投稿

XSpear是一款功能強大的XSS掃描與參數分析工具,該工具基于Ruby開發,廣大研究人員可以將XSpear作為一款XSS掃描工具來使用,并保證目標應用的安全。

核心功能
1、基于模式匹配的XSS掃描
2、檢測無頭瀏覽器的alert、confirm、prompt事件
3、針對XSS保護繞過來測試請求與響應
4、測試XSS盲注(XSS Hunter、ezXSS、HBXSS)
5、動態/靜態分析:尋找SQL錯誤模式、分析安全Header、分析其他Header、測試URI路徑
6、掃描元文件
7、基于Ruby開發(GEM庫)
8、顯示table base cli-report、filtered rule和testing raw query(url)
9、測試選中的參數
10、支持命令行JSON輸出格式
11、支持Verbose 0-3級
12、支持Config文件
13、針對任意攻擊向量支持自定義回調代碼
工具安裝
廣大研究人員可運行下列命令完成工具的安裝:
$ gem install XSpear
或者以本地文件進行安裝:
$ gem install XSpear-{version}.gem
將下面這行代碼添加至應用程序的Gemfile中:
gem 'XSpear'
接下來,運行下列命令:
$ bundle
Gem依賴
colorize
    selenium-webdriver
    terminal-table
    progress_bar
如果你想利用Gem庫來完成自動化安裝與配置,可以直接運行下列命令:
$ gem install colorize
    $ gem install selenium-webdriver
    $ gem install terminal-table
    $ gem install progress_bar
命令行使用
Usage: xspear -u [target] -[options] [value]
    [ e.g ]
    $ xspear -u 'https://www.hahwul.com/?q=123' --cookie='role=admin' -v 1 -a
    $ xspear -u "http://testphp.vulnweb.com/listproducts.php?cat=123" -v 2
    [ Options ]
        -u, --url=target_URL             [required] Target Url
        -d, --data=POST Body             [optional] POST Method Body data
        -a, --test-all-params            [optional] test to all params(include not reflected)
            --headers=HEADERS            [optional] Add HTTP Headers
            --cookie=COOKIE              [optional] Add Cookie
            --raw=FILENAME               [optional] Load raw file(e.g raw_sample.txt)
        -p, --param=PARAM                [optional] Test paramters
        -b, --BLIND=URL                  [optional] Add vector of Blind XSS
                                          + with XSS Hunter, ezXSS, HBXSS, etc...
                                          + e.g : -b https://hahwul.xss.ht
        -t, --threads=NUMBER             [optional] thread , default: 10

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10]  下一頁

【聲明】:黑吧安全網(http://www.650547.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        安徽快3自由的百科 安徽11选5任三遗漏数 皇冠北京赛车登录网址 海南七星彩打4个号码 历年上证指数 彩票大赢家基本走势图 秒赚德国赛车 鑫配网 上海天天彩选4走势图表座标 河北快3网上购买 河北11选5手机助手