FinDOM-XSS – 基于 DOM 的快速 XSS 漏洞扫描器

DOM XSS 代表基于文档对象模型的跨站点脚本。基于 DOM 的漏洞发生在客户端执行的内容处理阶段，通常在客户端 JavaScript 中。在基于 DOM 的 XSS 攻击中，恶意字符串不会被受害者的浏览器解析，直到网站的真实 JavaScript 被执行。

要执行基于 DOM 的 XSS 攻击，您希望将数据存储到源中，以便将其传递到接收器并导致执行任意 JavaScript 代码。 FinDOM-XSS 是在 Shell 脚本中开发的一种自动工具，旨在快速找出可能和/潜在的基于 DOM 的 XSS 漏洞。 FinDOM-XSS 工具在 GitHub 上可用，它是免费和开源的。该工具同时适用于单个目标以及多个目标。

在 Kali Linux OS 中安装 FinDOM-XSS 工具

第 1 步：使用以下命令在您的 Kali Linux 操作系统中安装该工具。

git clone https://github.com/dwisiswant0/findom-xss.git

第 2 步：现在使用以下命令移动到该工具的目录。您必须在目录中移动才能运行该工具。

cd findom-xss

第三步：列出目录的内容

ls

第 4 步：现在使用以下命令运行该工具。

./findom-xss.sh

在 Kali Linux 操作系统中使用 FinDOM-XSS 工具

示例 1：在目标上运行该工具

./findom-xss.sh http://geeksforgeeks.org

在此示例中，我们针对域 http://geeksforgeeks.org 运行该工具。

我们在 http://geeksforgeeks.org 上获得了潜在的 DOM，通过它可以执行 XSS。

结果保存在文本文件中：

示例 2：针对多个目标运行该工具

cat urls.txt | ./findom-xss.sh

在此示例中，我们针对保存在 urls.txt 文件中的多个目标运行该工具。

我们在 http://geeksforgeeks.org 上获得了潜在的 DOM。

我们在 http://bugcrowd.com 上获得了潜在的 DOM。

在 http://facebook.com 上未检测到潜在的 DOM。