XSSCon – 简单而强大的 XSS 扫描器工具
XSSCon工具是一个基于 Python 的工具,具有强大的 XSS(跨站点脚本)扫描器。 XSS 是最常见的漏洞,几乎在每个基于 Web 的应用程序中都会发现;您只需要找到一个输入字段,您就可以在其中注入恶意负载。如果您的目标域中有巨大的范围,自动化可以减少您的手动工作。您可以在执行基于 Web 的应用程序的渗透测试时使用此 XSSCon 工具,或者您也可以在 Bug Bounty Programs 中使用此工具来获取低中级错误并获得大量赏金。
特征
- XSSCon 抓取目标域中的所有链接;它在同一个域中有一个强大的爬虫引擎。
- XSSCon 支持 POST 和 GET 类型的请求和响应。
- XSSCon 有许多可以轻松自定义的设置。
- XSSCon 是一个完全自动化的工具。
在 Kali Linux 中安装 XSSCon 工具:
步骤 1:首先,您必须打开 Kali Linux 终端并使用以下命令移动到桌面目录。在桌面上,我们必须创建一个目录,我们将在其中安装该工具或从 GitHub 克隆该工具。
cd Desktop/
第 2 步:现在,我们在桌面上。我们将使用以下命令创建一个名为 XSSCon 的新目录。
mkdir XSSCon
第 3 步:您已经在桌面上创建了 XSSCon 目录并使用以下命令移动到该目录。
cd XSSCon/
第 4 步:使用以下命令安装所需的包 (bs4/beautifulsoap)。
pip3 install bs4
步骤 5:使用以下命令安装所需的包(请求)。
pip3 install requests
第 6 步:现在您在 XSSCon 目录下。在此目录中,您必须从 GitHub 克隆 XSSCon 工具。要克隆该工具,请使用以下命令。
git clone https://github.com/menkrep1337/XSSCon
步骤 7:现在,该工具已成功克隆到 XSSCon 目录。现在使用以下命令列出该工具的所有内容。
ls
第 8 步:您可以在此处看到一个新目录。 XSSCon 已创建,现在使用以下命令移动到此目录。
cd XSSCon/
步骤 9:使用以下命令列出目录的所有内容。
ls
第 10 步:您已经下载了该工具,现在您必须使用以下命令授予该工具的权限。
chmod 777 xsscon.py requirements.txt
步骤11:再次列出工具的内容以使用以下命令检查权限。
ls
第 12 步:也已对需求给予许可。现在使用以下命令安装所有要求。
注意:如果您已经安装了步骤 4 和 5 中所需的软件包,则可以跳过此步骤
pip3 install -r requirements.txt 
步骤13:查看工具的帮助页面,更好地了解工具的使用情况。
python3 xsscon.py --help
使用 XSSCon
该工具已成功下载。使用此工具,您可以轻松检查网站和 web 应用程序的跨站点脚本漏洞。现在这里有一些使用 XSSCon 工具的例子。
python3 xsscon.py -u http://testphp.vulnweb.com
XSSCon 工具已开始检查跨站点脚本漏洞。这些是该工具检测到的漏洞。该工具会一次又一次地检查网站。找到易受攻击的网站时,它会在终端显示。
现在,如果我们在 Web 浏览器中打开链接,您可以看到 XSSCon 注入的有效负载实际上正在工作。当我们点击恶意链接时,弹出窗口就会出现。
