XSS-Scanner使用教程

gclome

原文链接：XSS-Scanner使用教程

XSS-Scanner是跨站点脚本（XSS），是最著名的Web应用程序漏洞之一。它甚至在OWASP Top 10项目中都有专门的章节，并且在漏洞赏金计划中是一个极受追捧的漏洞。 扫描程序从用户处获取链接，并通过在输入位置注入恶意脚本来扫描网站是否存在XSS漏洞。注入发生在名为Chromium的无头浏览器中，并由Puppeteer自动化控制。

原理
查找目标：
在第一步中，该工具将尝试识别页面上的所有位置，包括表单，URL，标题等中的可注入参数。
测试XSS：
对于上一步中发现的每个位置，扫描仪都会尝试检测参数是否容易受到跨站点脚本攻击。该工具注入了一段JavaScript代码，其中包括一些特殊的HTML字符（>，<，“，”），并且它将尝试查看是否在不进行消毒的情况下将它们返回到响应页面中。如果该工具检测到至少一个漏洞，它将返回该网站具有XSS漏洞。
​
安装

1. Git clone https://github.com/MariaGarber/XSS-Scanner.git
   
2. cd XSS-Scanner
   
3. npm install
   
4. npm start

复制代码

使用

打开浏览器访问http://localhost:4000即可。