安全矩阵

 找回密码
 立即注册
搜索
查看: 6958|回复: 0

XSS-Scanner使用教程

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2021-1-11 19:32:34 | 显示全部楼层 |阅读模式
原文链接:XSS-Scanner使用教程

XSS-Scanner是跨站点脚本(XSS),是最著名的Web应用程序漏洞之一。它甚至在OWASP Top 10项目中都有专门的章节,并且在漏洞赏金计划中是一个极受追捧的漏洞。 扫描程序从用户处获取链接,并通过在输入位置注入恶意脚本来扫描网站是否存在XSS漏洞。注入发生在名为Chromium的无头浏览器中,并由Puppeteer自动化控制。

原理
查找目标:
在第一步中,该工具将尝试识别页面上的所有位置,包括表单,URL,标题等中的可注入参数。
测试XSS:
对于上一步中发现的每个位置,扫描仪都会尝试检测参数是否容易受到跨站点脚本攻击。该工具注入了一段JavaScript代码,其中包括一些特殊的HTML字符(>,<,“,”),并且它将尝试查看是否在不进行消毒的情况下将它们返回到响应页面中。如果该工具检测到至少一个漏洞,它将返回该网站具有XSS漏洞。

安装
  1. Git clone https://github.com/MariaGarber/XSS-Scanner.git
  2. cd XSS-Scanner
  3. npm install
  4. npm start
复制代码

使用

打开浏览器访问http://localhost:4000即可。


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 15:46 , Processed in 0.012415 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表