| 关键词: xssfork payload 命令 攻击 XSS 工具 进制 场景 codersec |
什么是XSS漏洞呢 ?
传统的 xss 探测工具:
![]() 0×001 前言xssfork是一款新一代xss漏洞探测工具,其开发的目的是帮助安全从业者高效率的检测xss安全漏洞。与传统检测工具相比xssfork使用的是 webkit内核的浏览器phantomjs,其可以很好的模拟浏览器。工具分为两个部分,xssfork和xssforkapi,其中xssfork在对网站fuzz xss的时候会调用比较多的payload。话不多说,一起来研究下这款工具吧 ? 0×002 环境依赖
0×003安装教程
出现以下显示,代表安装成功; ![]() 0×004内置Payload工具的开发者收集了目前流行的xss payload,丰富的一批欧(目前内置存在的payload数量为70个),payload文件存在于xssforkthirdpartyfuzz_dicpayloads.dic文件里面; ![]() 并且会添加上各种闭合的情况; 0×005内置编码方式为了进行更加智能的进行测试,作者在测试时同时加入了绕过方式,提供了四种编码方式,供大家进行使用; 现阶段提供了10进制,16进制,随机大小写,关键字叠加四个脚本;
查看命令为:python xssfork.py –list; 使用编码命令为:-t 脚本名称即可; ![]() 0×006 使用场景场景1 反射型xss 操作命令如下: 场景2 带大小写绕过 操作命令如下: 场景3 dom型xss 操作命令如下: 场景4 post型xss 操作命令如下: 场景5 验证cookie型xss 操作命令如下: ![]() 总的来说呢,xssfork感觉还是很不错的工具。 转载自FreeBuf.COM |
| 本文出处: https://www.toutiao.com/i6777183292090221068/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|