شرح أداة XSStrike اكتشاف واستغلال ثغرات XSS
XSStrike هو مجموعة طرق كشف متقدمة لثغرات XSS. لديها محرك قوي . XSStrike هو أول ماسح لثغرات XSS لتوليد الحمولات Payload الخاصة به (الاستغلال). أداة ذكية بما فيه الكفاية للكشف عن السياقات المختلفة والخروج منها.مميزات الاداة XSStrike
- Reflected and DOM XSS scanning
- Multi-threaded crawling
- Context analysis
- Configurable core
- WAF detection & evasion
- Intelligent payload generator
- Handmade HTML & JavaScript parser
- Powerful fuzzing engine
- Blind XSS support
- Highly researched work-flow
- Complete HTTP support
- Bruteforce payloads from a file
- Powered by Photon, Zetanize and Arjun
- Payload Encoding
متطلبات الاداة
Python Versions
XSStrike is fully compatible with python versions >= 3.4
Operating Systems
XSStrike has been tested on Linux (Arch, Debian, Ubnutu), Termux, Windows (7 & 10), Mac, and works as expected. Feel free to report any bugs you encounter.
Dependencies
- tld
- requests
- fuzzywuzzy
كيفية تثبيت متطلبات XSStrike وتشغيلها
- أولا قم بفتح الطرفية Terminal
- ثم انسخ والصق بها الاوامر الاتية
git clone https://github.com/s0md3v/XSStrike.gitcd XSStrikepip3 install -r requirements.txt
اذا لم يعمل معك الامر pip3 قم بتثبيته بالامر
apt-get install python3-pip
لتشغيل الأداة أكتب:
python3 xsstrike.py
طريقة فحص المواقع
ادخل اسم الأداة واضف لها المدخل -u وضع أمامه رابط الموقع
هكذا:
python3 xsstrike.py -u http://example.com/search.php?q=query
أترككم مع بعض الصور وتطبيق بعض الأوامر
وميمكنكم الاستعانة لوثائق الأداة لاحترافها
DOM XSS
Reflected XSS
Crawling
python xsstrike.py -u "http://example.com/page.php" --crawl
Fuzzing
Bruteforcing payloads from a file
python3 xsstrike.py -u "http://example.com/page.php?q=query" -f /path/to/file.txt
Interactive HTTP Headers Prompt
Hidden Parameter Discovery
.png)
