XSSer：自動化XSS漏洞檢測及利用工具

轉載自FreeBuf.COM

XSS是一種很是常見的漏洞類型，它的影響很是的普遍而且很容易的就能被檢測到。

攻擊者能夠在未經驗證的狀況下，將不受信任的JavaScript片斷插入到你的應用程序中，而後這個JavaScript將被訪問目標站點的受害者執行【閱讀更多】。

跨站點「Scripter」（又名XSSer）是一個自動化框架，用於檢測、利用以及報告基於Web應用程序中的XSS漏洞。

它包含多個嘗試繞過某些過濾器的選項，以及各類特殊的代碼注入技術。

安裝XSSer – XSS

XSSer支持多平臺運行。它須要Python和如下庫：

- python-pycurl - Python bindings to libcurl
- python-xmlbuilder - create xml/(x)html files - Python 2.x - python-beautifulsoup - error-tolerant HTML parser for Python - python-geoip - Python bindings for the GeoIP IP-to-country resolver library

在基於Debian的系統上安裝

sudo apt-get install python-pycurl python-xmlbuilder python-beautifulsoup python-geoip

使用

顯示幫助信息「xsser -h」

root@kali:~# xsser -h

啓動簡單的注入攻擊

root@kali:~# xsser -u 「http://192.168.169.130/xss/example1.php?name=hacker」

選擇「google」做爲搜索引擎從Dork注入：

root@kali:~# xsser –De 「google」 -d 「search.php?q=」

在這個KaliLinux教程中，從URL執行多個注入，自動有效載荷，並創建反向鏈接。

xsser -u 「http://192.168.169.130/xss/example1.php?name=hacker」 –auto –reverse-check -s

簡單的URL注入，使用GET，Cookie注入並使用DOM shadow

xsser -u 「http://192.168.169.130/xss/example1.php?name=hacker」 -g 「/path?vuln=」 –Coo –Dom –Fp=」vulnerablescript」

啓發式參數過濾

root@kali:~# xsser -u 「http://192.168.169.130/xss/example1.php?name=hacker」 –heuristic

啓動GUI界面

root@kali:~# xsser –gtk

你也能夠將TOR代理與XSSer一塊兒使用。

XSSER自動化框架來檢測，利用和報告XSS漏洞

主要特性

同時使用GET和POST方法注入。

包括各類過濾器和繞過技術。

能夠與命令行和GUI一塊兒使用。

將提供攻擊的詳細統計數據。

XSS防護

對style屬性裏面的數據進行嚴格的檢查，而且對於用戶輸出到xss裏面的內容進行適當的CSS編碼。

行嚴格的JavascriptEncode，將某些字符轉義，如 」 變成 \」 ，’ 變成 \’ 等等。

使用 HTMLEncode 編碼，保證你從js輸出到HTML的元素和屬性不會脫離你的控制。

使用 JavascriptEncode，對事件裏面的js代碼進行編碼。

對var變量進行HtmlEncode，那麼我就不管如何也構建不了<>任何元素了。也就不可能有<script> 或新建元素利用Onload事件等。

*參考來源：gbhackers，FB小編 secist 編譯，轉載自FreeBuf.COM