如何使用XSpear完成XSS扫描与参数分析
XSpear是一款功能强大的XSS扫描与参数分析工具,该工具基于Ruby开发,广大研究人员可以将XSpear作为一款XSS扫描工具来使用,并保证目标应用的安全。
核心功能
1、基于模式匹配的XSS扫描
2、检测无头浏览器的alert、confirm、prompt事件
3、针对XSS保护绕过来测试请求与响应
4、测试XSS盲注(XSS Hunter、ezXSS、HBXSS)
5、动态/静态分析:寻找SQL错误模式、分析安全Header、分析其他Header、测试URI路径
6、扫描元文件
7、基于Ruby开发(GEM库)
8、显示table base cli-report、filtered rule和testing raw query(url)
9、测试选中的参数
10、支持命令行JSON输出格式
11、支持Verbose 0-3级
12、支持Config文件
13、针对任意攻击向量支持自定义回调代码
工具安装
广大研究人员可运行下列命令完成工具的安装:
$ gem install XSpear
或者以本地文件进行安装:
$ gem install XSpear-{version}.gem
将下面这行代码添加至应用程序的Gemfile中:
gem 'XSpear'
接下来,运行下列命令:
$ bundle
Gem依赖
colorize
selenium-webdriver
terminal-table
progress_bar
如果你想利用Gem库来完成自动化安装与配置,可以直接运行下列命令:
$ gem install colorize
$ gem install selenium-webdriver
$ gem install terminal-table
$ gem install progress_bar
命令行使用
Usage: xspear -u [target] -[options] [value]
[ e.g ]
$ xspear -u 'https://www.hahwul.com/?q=123' --cookie='role=admin' -v 1 -a
$ xspear -u "http://testphp.vulnweb.com/listproducts.php?cat=123" -v 2
[ Options ]
-u, --url=target_URL [required] Target Url
-d, --data=POST Body [optional] POST Method Body data
-a, --test-all-params [optional] test to all params(include not reflected)
--headers=HEADERS [optional] Add HTTP Headers
--cookie=COOKIE [optional] Add Cookie
--raw=FILENAME [optional] Load raw file(e.g raw_sample.txt)
-p, --param=PARAM [optional] Test paramters
-b, --BLIND=URL [optional] Add vector of Blind XSS
+ with XSS Hunter, ezXSS, HBXSS, etc...
+ e.g : -b https://hahwul.xss.ht
-t, --threads=NUMBER [optional] thread , default: 10
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] 下一页