快速、直接的XSS漏洞检测爬虫 – XSScrapy

XSScrapy是一个快速、直接的XSS漏洞检测爬虫，你只需要一个URL，它便可以帮助你发现XSS跨站脚本漏洞。

XSScrapy的XSS漏洞攻击测试向量将会覆盖

Http头中的Referer字段
User-Agent字段
Cookie
表单（包括隐藏表单）
URL参数
RUL末尾，如 www.example.com/<script>alert(1)</script>
跳转型XSS

因为Scrapy并不是一个浏览器，所以对AJAX无能为力，我将会在未来努力实现这些功能，尽管并不容易:）

使用方法

基本检测命令

./xsscrapy.py -u http://something.com

如果你需要登陆的话，加上账号、密码作为参数即可

./xsscrapy.py -u http://something.com/login_page -l loginname -p pa$$word

检测结果将会存储在XSS-vulnerable.txt.

下载地址

[参考信息来源：http://danmcinerney.org/xsscrapy-fast-thorough-xss-vulnerability-spider/]

时间： 2024-10-10 05:17:31

快速、直接的XSS漏洞检测爬虫 – XSScrapy的相关文章

XSS动态检测

0x00 起前一段时间,因为工作原因接触到XSS漏洞检测.前人留下的锅,是采用pyqt webkit来解析网页内容.作为Python webkit框架,相比于PhantomJS,pyqt在捕获错误,重载函数等方面有比较多的优势,但pyqt也有很有缺点:占用资源较多.底层解析还是用C++,许多错误是C++直接抛出的,Python依然无法捕获.历史遗留等等问题. 最近做毕设,考虑到以上的优缺点,动态解析部分采用了PhantomJS来编写.本文就介绍一下XSS动态解析的思路及部分关键代码. 0x10

XSS 漏洞介绍

概念: XSS 攻击:跨站脚本攻击 (Cross Site Scripting),为不和层叠样式表 (Cascading Style Sheets, CSS) 的缩写混淆.故将跨站脚本攻击缩写为 XSS. XSS 是一种经常出现在 web 应用中的计算机安全漏洞,它允许恶意 web 用户将代码植入到提供给其它用户使用的页面中.比如这些代码包括 HTML 代码和客户端脚本. 攻击者利用 XSS 漏洞旁路掉访问控制--例如同源策略 (same origin policy).这种类型的漏洞由于被骇客用

BruteXSS：Xss漏洞扫描脚本

今天给大家进行汉化改进的是一款脚本工具:BruteXSS,这款脚本能自动进行插入XSS,而且可以自定义攻击载荷. 该脚本也同时提供包含了一些绕过各种WAF(Web应用防护系统)的语句. 0×01简介简单的介绍一下这个工具吧:BruteXSS是一个非常强大和快速的跨站点脚本暴力注入.它用于暴力注入一个参数.该BruteXSS从指定的词库加载多种有效载荷进行注入并且使用指定的载荷和扫描检查这些参数很容易受到XSS漏洞.得益于非常强大的扫描功能.在执行任务时, BruteXSS是非常准确而且极少误报

[漏洞检测]Proxpy Web Scan设计与实现（未完待续）

Proxpy Web Scan设计与实现 1.简介: Proxpy Web Scan是基于开源的python漏洞扫描框架wapiti改造的web漏洞扫描器,其主要解决以下几个问题而生: (1).当前互联网业务处于快速发展阶段,由于小版本更新迭代快,很难做到发布前必定经过安全测试.此外,安全小组面临安全人员不足和人工安全测试重复性工作过高的问题, (2).当前业界的漏洞扫描器更多的是基于简单的爬虫加扫描引擎的模式,可定制化幅度小,易用性和可扩展性都不是太好,如果要嵌入到发布流程则

使用Fiddler的X5S插件查找XSS漏洞

OWASP top 10的安全威胁中的CrossSite Scripting(跨站脚本攻击),允许攻击者通过浏览器往网站注入恶意脚本.这种漏洞经常出现在web应用中需要用户输入的地方,如果网站有XSS漏洞,攻击者就可以通过这种漏洞向浏览网站的用户发送恶意脚本,同时也可以利用该漏洞偷取sessionid,用来劫持用户帐户的会话. 所以网站开发者必须针对这种攻击进行适当的测试,必须过滤网站的每个输入及输出.为了使漏洞检测更容易,也可以使用各种扫描器,有很多自动或手动工具可以帮我们查找这些漏洞.X5S

Atitit. Xss 漏洞的原理and应用xss木马

Atitit. Xss 漏洞的原理and应用xss木马 1. XSS漏洞1 2. XSS的用途2 2.1. 盗取cookie2 2.2. 刷新流量刷分3 2.3. DOS 窃取隐私”.“假冒身份”.“WEB蠕虫3 2.4. 广告植入弹窗 .信息收集 .流量转发甚至是路由劫持3 2.5. 钓鱼攻击,高级的钓鱼技巧.3 2.6. 删除目标文章.恶意篡改数据.嫁祸.3 2.7. 劫持用户Web行为,甚至进一步渗透内网.3 2.8. 爆发Web2.0蠕虫.3 2.9. 蠕虫式的DDoS攻击.3 2

Web应用进行XSS漏洞测试

转自:http://www.uml.org.cn/Test/201407161.asp 对 WEB 应用进行 XSS 漏洞测试,不能仅仅局限于在 WEB 页面输入 XSS 攻击字段,然后提交.绕过 JavaScript 的检测,输入 XSS 脚本,通常被测试人员忽略.下图为 XSS 恶意输入绕过 JavaScript 检测的攻击路径. 常见的 XSS 输入 XSS 输入通常包含 JavaScript 脚本,如弹出恶意警告框:<script>alert("XSS");<

移动App开发工具和移动应用漏洞检测工具

移动应用开发工具和移动应用漏洞检测工具,另外,HTML5提供了很多易于移动web开发的特性.例如,所有的网站都是开发放式的,不需要授权:开发者所创造的利润全部归自己所有.无疑,HTML5正在升温,它所体现出来的优势也在不断增加. 移动应用开发工具和移动应用漏洞检测工具,最新版本的HTML5,可以存储数据,也就是说,数据不再需要与设备绑定.HTML5给人们所带来的好处远不止这些.当然,也可能会有些小问题,比如:连接问题.有时速度会很慢,这也许和开发技术有关.虽然存在不足,但是HTML5的优势是不可

跨站脚本攻击之XSS漏洞

addElement()方法用于添加新的留言,而renderComments()方法用于展留言列表,网页看起来是这样的 XSS 因为我们完全信任了用户输入,但有些别有用心的用户会像这样的输入这样无论是谁访问这个页面的时候控制台都会输出“Hey you are a fool fish!”,如果这只是个恶意的小玩笑,有些人做的事情就不可爱了,有些用户会利用这个漏洞窃取用户信息.诱骗人打开恶意网站或者下载恶意程序等,看个最简单的例子利用xss窃取用户名密码当然这个示例很简单,几乎攻击不到任何网站