XSS-Freak – 完全用 Kali Linux 编写的 XSS 扫描器
XSS 或跨站点脚本是 Web 应用程序中最新兴的安全漏洞。当 Web 应用程序执行任意或恶意的 JavaScript 时,它被称为 XSS 易受攻击的网站。有各种 XSS 扫描器,我们可以通过它们检测目标域上的 XSS。 XSS-Freak 是一个用Python语言开发的 XSS 扫描器。 XSS-Freak 工具是一个开源和免费使用的工具,也可以在 GitHub 上找到。 XSS-Freak 工具会爬取目标域中所有可能的链接和目录,以增加攻击的机会。
注意:确保您的系统上安装了Python ,因为这是一个基于 Python 的工具。点击查看安装过程——Linux上的Python安装步骤
XSS-Freak 是如何工作的
通过Python解释器执行脚本后,用户需要指定将在目标域上测试的 XSS 有效负载列表。然后 XSS-Freak 工具爬取目录和链接并分析可以插入有效负载的参数并完成测试过程。然后 XSS-Freak 工具将所有找到的 HTML INPUTS 添加到其攻击范围,然后 XSS-Freak 工具使用用户从列表中提供的 XSS 有效负载对所有 HTML INPUTS 发起攻击。如果 HTML 输入未正确清理和过滤,脚本将立即检测到它并打印出易受攻击的参数。
好处:
- XSS-Freak 工具支持多线程,以实现更高的效率和更快的性能处理。
- XSS-Freak 具有爬取整个网站的能力。
- XSS-Freak 工具用途广泛。
缺点:
- 手机不支持
- 需要高速互联网连接
- 需要高级硬件
在 Kali Linux OS 上安装 XSS-Freak Tool
第 1 步:使用以下命令在您的 Kali Linux 操作系统中安装该工具。
git clone https://github.com/AssetX/XSS-Freak.git
第 2 步:现在使用以下命令移动到该工具的目录。您必须在目录中移动才能运行该工具。
cd XSS-Freak
第 3 步:您在 XSS-Freak 的目录中。现在您必须使用以下命令安装 XSS-Freak 的依赖项。
sudo pip3 install -r requirements.txt
第 4 步:所有依赖项都已安装在您的 Kali Linux 操作系统中。现在使用以下命令运行该工具并检查帮助部分。
python3 XSS-Freak.py -h
在 Kali Linux 操作系统上使用 XSS-Freak 工具
示例 1 :我们将测试 http://geeksforgeeks.org 目标域
在本例中,我们将测试 geeksforgeeks.org 域。我们将指定由 Payload 组成的 XSS 列表。
由于 geeksforgeeks.org 是安全网站,因此该工具未检测到任何易受攻击的参数。
示例 2 :我们将测试 http://testphp.vulnweb.com 目标域
在本例中,我们将扫描 testphp.vulnweb.com 域。
我们有一个易受攻击的参数或输入,我们可以通过它插入有效负载。