XSStrike-Fuzz and Bruteforce Parameters for XSS

[Vertigo]

Приветствую Уважаемых Друзей,Форумчан и Дорогих гостей нашего форума.

Сегодня обзор будет о инструменте-сканере xsstrike от замечательного автора UltimateHackers
Сомневался по-поводу целесообразности обзора.
Но т.к.сведения о сканере начали активно распространяться,решился.

В задачи инструмента входит обнаружение защиты waf с возможностью обхода.
Также создание параметров fuzz и bruteforce с полезной нагрузкой для XSS.
Результаты инструмент предлагает наглядно показать в окне автоматически запущенного браузера.

Работает по следующему алгоритму:
Обозначение URL цели c конкретно-заданным запросом
Сведения о наличии у цели WAF и далее предлагается 3 варианта атаки
1.Fuzzer-данная функция проверяет как входные данные отражаются на веб-странице, а затем пытается создать полезную нагрузку в соответствии с этим.
2.Striker- брутфорс атака с отработкой поочерёдных параметров и отображение результатов в браузере.
3.Hulk - в этой функции используется иной подход ,без отражений параметров ввода.
Здесь же ,отрабатываются массивные полезные нагрузки в соответствии с заданным запросом.

О нагрузках автор говорит,что отбирал их лично,чтобы включить самые целеустремлённые.
Наверное,не лишним будет попросить,чтобы вы были аккуратнее с этим инструментом.

Из личного опыта могу отметить,что сканер отличается агрессивным,местами непредсказуемым поведением.
К примеру,то,что вы видите на скрине,всё получено не введением команды help,а клавишей Enter.
Если нажать Enter ещё раз,то сканер ринется в бой,запустив браузер по адресу

Ссылка скрыта от гостей

При целенаправленной атаке,инструментом обыгрываются различные payload.
При этом,замечал такие фразы,как no inject,так что надо понимать ,что инструмент пытается сделать))
Он не без недостатков,находится в стадии активной доработки.
Поддерживает пока только функцию запросов GET.POST, согласно планам автора,будет добавлена в ближайшее время.

Поэтому,поймите и меня верно,но считаю,что новичкам стоит дождаться всё же плановой доработки.
Ну а для тех,у кого имеется непреодолимое желание потестировать данный инструмент:

Скачиваем:

git clone https://github.com/UltimateHackers/XSStrike.git

Устанавливаем:

cd XSStrike/
pip install -r requirements.txt

Запускаем :

python xsstrike

Вызов подсказки :

help

Далее,необходимо указать URL тестируемого ресурса с параметром по такому алгоритму

target.com/search.php?q=d3v&category=1

На этом завершаю свой обзор.Благодарю всех за внимание.

 

[Ondrik8]

От себя немножко дополню на тему XSS

XSS’OR – Hack with JavaScript

Ссылка скрыта от гостей

<<---версия

Установка:

git clone https://github.com/evilcos/xssor2
cd xssor2
modify xssor/payload/probe.js

 

[Архип Борисов]

Дополню, у кого не генерирует пэйлоад:

Moved (?s) to flags=re.S because it's a global flag by GodSaveTheDoge · Pull Request #382 · s0md3v/XSStrike

What does it implement/fix? Explain your changes. Global flags aren't allowed not at the start of the regex Where has this been tested? Python Version: 3.11.3 Operating System: Arch Linux Does ...

github.com