XssPy
XssPy — это инструмент на Python для поиска уязвимостей межсайтового скриптинга (XSS) в веб-сайтах. Вместо того, чтобы просто проверить одну страницу, как делает большинство инструментов, этот инструмент предварительно перемещается по веб-сайту и ищет все ссылки и поддомены. После этого он начинает сканирование каждого ввода (input) на каждой странице, которые найдены во время индексации. Он использует маленькую, но эффективную полезную нагрузку для поиска XSS уязвимостей.Этот инструмент тестировался параллельно с платными сканерами уязвимостей, и большинство сканеров потерпели неудачу в выявлении уязвимостей, которые этот инструмент был способен найти. Более того, большинство платных инструментов сканируют только один сайт, тогда как XssPy для начала ищет множество поддоменов и затем сканирует все ссылки вместе. Этот инструмент поставляется с:
- инструментом быстрого сканирования
- инструментом комплексного сканирования
- инструментом поиска субдоменов
- инструментом проверки каждого ввода (input) на каждой странице
Порядок действий для проверки сайта
По умолчанию XssPy установлен в дистрибутиве Kali Linux. После запуска ОС просто выполните команду:
Если вы не планируете использовать другие инструменты Kali Linux, то можно установить только XssPy на локальной машине. Для установки и запуска вручную необходимо выполнить следующие команды:
В адресе сайта не нужно указывать “www” и протокол.XssPy.py -u website.com -eгде website.com - доменное имя целевого сайта.
Если вы не планируете использовать другие инструменты Kali Linux, то можно установить только XssPy на локальной машине. Для установки и запуска вручную необходимо выполнить следующие команды:
sudo apt update
sudo apt install python-pip git
sudo pip install mechanize
git clone https://github.com/faizann24/XssPy.git
cd XssPy
python XssPy.py -u website.com -e
Необязательная опция: -e, которую можно указывать после имени сайта, означает комплексное сканирование.
Если в выводе будет присутствовать “Xss found and the link is .. “, значит вы нашли XSS уязвимость. В противном случае программа завершит свое выполнение без вывода дополнительных сообщений.
Комментарии
Отправить комментарий