首页 站长运维 脚本编程 BruteXSS:XSS暴力破解神器

摘要

自信良众小伙伴都清爽XSS测试,至于何如加倍有用地插入载荷是一件反复性的高强度劳动使命,正在此本文先容了一款自愿实行插入XSS,而且能够自界说攻击载荷。这些载荷从几十条到几百条乃至几千条。该剧本也同时蕴涵了极少绕过百般WAF的语句。

   0×01BruteXSS

BruteXSS是一个极度巨大和火速的跨站点剧本暴力注入。它用于暴力注入一个参数。该BruteXSS从指定的词库加载众种有用载荷实行注入而且应用指定的载荷和扫描搜检这些参数很容易受到XSS毛病。得益于极度巨大的扫描效力。正在实行工作时, BruteXSS口角常确凿并且极少误报。 BruteXSS增援POST和GET乞求,适宜当代Web操纵圭外。

特质:

XSS暴力破解

XSS扫描

增援GET/ POST乞求

自界说单词能够蕴涵

人性化的UI

   0×02 下载与安设

github地点:

安设小提示:1 剧本必要以下条款方可平常实行:

Python 2.7 #正在运转python 2.7的平台上,如Windows , Linux 或者其他装备

Modules required: Colorama, Mechanize #所需模块,请参考以下格式安设

root@kali:~/Desktop/BruteXSS# pip install colorama

root@kali:~/Desktop/BruteXSS# pip install Mechanize

   0×03 本质应用

安设凯旋后,咱们能够实行以下语句:

   root@kali:~/Desktop/BruteXSS# python brutexss.py -h

#正在目次BruteXSS 下,有wordlist.txtwordlist-small.txtwordlist-medium.txtwordlist-huge.txt四个攻击载荷

wordlist.txt # 约20条常用语句,能够实行一个基础粗略的XSS搜检

wordlist-small.txt #约100条语句,能够实行一个相对周至的XSS搜检

wordlist-medium.txt #约200条语句,能够实行一个绕过WAF的XSS搜检

wordlist-huge.tx #约5000条语句,能够实行一个极度周至的而且绕过WAF的XSS搜检

1GET 本领

COMMAND: python brutexss.py

METHOD: g

URL:

WORDLIST: wordlist.txt

2 POST本领COMMAND: python brutexss.py

METHOD: p

URL:

POST DATA: parameter=valueparameter1=value1

WORDLIST: wordlist.txt

3 结果输出

   ____ _ __ ______ ____ __ ) _ __ _ _ _ ___ \ \/ / ___/ ___ _ \ __ __/ _ \ \ /\___ \___ \ _) _ __/ / \ ___) __) ____/_ \__,_\__\___ /_/\_\____/____/ BruteXSS – Cross-Site Scripting BruteForcer Author: Shawar Khan – Select method: [G]ET or [P]OST (G/P): p [?] Enter URL: [?] > httpfile.php [+] Checking ifis available… [+] site.com is available! Good! [?] Enter post data: > parameter=valueparameter1=value1 [?] Enter location of Wordlist (Press Enter to use default wordlist.txt) [?] > wordlist.txt [+] Using Default wordlist… [+] Loading Payloads from specified wordlist… [+] 25 Payloads loaded… [+] Injecting Payloads… [+] Testing parameter parameter… [+] 2 / 25 payloads injected… [!] XSS Vulnerability Found! [!] Parameter: parameter [!] Payload: ><script>prompt(1)</script> [+] Testing parameter1 parameter… [+] 25 / 25 payloads injected… [+] parameter1 parameter not vulnerable. [+] 1 Parameter is vulnerable to XSS. +—-+————–+—————-+ Id Parameters Status +—-+————–+—————-+ 0 parameter Vulnerable +—-+————–+—————-+ 1 parameter1 Not Vulnerable +—-+————–+—————-+

以下是运转应用结果截图:(哈哈,安闲维基小广告 )

BruteXSS:XSS暴力破解神器

接待大伙分享更好的思绪,热切等候^^_^^ !

标题:BruteXSS:XSS暴力破解神器

分类:脚本编程

链接:https://www.seozhan.cn/30569.html

版权:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至503806699@qq.com 举报,一经查实,本站将立刻删除

相关文章

评论 暂无评论