如何使用XSpear完成XSS扫描与参数分析

来源:岁月联盟 编辑:猪蛋儿 时间:2020-01-29

XSpear是一款功能强大的XSS扫描与参数分析工具,该工具基于Ruby开发,广大研究人员可以将XSpear作为一款XSS扫描工具来使用,并保证目标应用的安全。

核心功能
1、基于模式匹配的XSS扫描
2、检测无头浏览器的alert、confirm、prompt事件
3、针对XSS保护绕过来测试请求与响应
4、测试XSS盲注(XSS Hunter、ezXSS、HBXSS)
5、动态/静态分析:寻找SQL错误模式、分析安全Header、分析其他Header、测试URI路径
6、扫描元文件
7、基于Ruby开发(GEM库)
8、显示table base cli-report、filtered rule和testing raw query(url)
9、测试选中的参数
10、支持命令行JSON输出格式
11、支持Verbose 0-3级
12、支持Config文件
13、针对任意攻击向量支持自定义回调代码
工具安装
广大研究人员可运行下列命令完成工具的安装:
$ gem install XSpear
或者以本地文件进行安装:
$ gem install XSpear-{version}.gem
将下面这行代码添加至应用程序的Gemfile中:
gem 'XSpear'
接下来,运行下列命令:
$ bundle
Gem依赖
colorize
    selenium-webdriver
    terminal-table
    progress_bar
如果你想利用Gem库来完成自动化安装与配置,可以直接运行下列命令:
$ gem install colorize
    $ gem install selenium-webdriver
    $ gem install terminal-table
    $ gem install progress_bar
命令行使用
Usage: xspear -u [target] -[options] [value]
    [ e.g ]
    $ xspear -u 'https://www.hahwul.com/?q=123' --cookie='role=admin' -v 1 -a
    $ xspear -u "http://testphp.vulnweb.com/listproducts.php?cat=123" -v 2
    [ Options ]
        -u, --url=target_URL             [required] Target Url
        -d, --data=POST Body             [optional] POST Method Body data
        -a, --test-all-params            [optional] test to all params(include not reflected)
            --headers=HEADERS            [optional] Add HTTP Headers
            --cookie=COOKIE              [optional] Add Cookie
            --raw=FILENAME               [optional] Load raw file(e.g raw_sample.txt)
        -p, --param=PARAM                [optional] Test paramters
        -b, --BLIND=URL                  [optional] Add vector of Blind XSS
                                          + with XSS Hunter, ezXSS, HBXSS, etc...
                                          + e.g : -b https://hahwul.xss.ht
        -t, --threads=NUMBER             [optional] thread , default: 10

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10]  下一页