XSS-Loader – XSS 扫描器和有效负载生成器

跨站点脚本或 XSS漏洞是 OWASP 十大漏洞中包含的漏洞。在此安全漏洞中，攻击者生成恶意 JavaScript Payload 代码，意图窃取受害者的 cookie 或执行帐户接管。有时，此缺陷会在 Web 应用程序的后端造成严重问题。恶意代码通过用户输入、参数、上传文件等传递。如果在将信息发送到网络服务器之前处理得当，那么应用程序可以免受 XSS 攻击。

XSS-Loader：XSS 注入工具包

XSS-Loader 是一个工具包，允许用户为 XSS 注入创建有效负载、扫描网站以查找潜在的 XSS 漏洞，并利用 Google 搜索引擎的强大功能发现可能易受 XSS 漏洞攻击的网站。 XSS-Loader 工具是用Python语言开发的。 XSS-Loader 工具是开源的，免费使用，可在 GitHub 上获得。该工具支持各种类型的有效负载生成，例如：

• 有效载荷
• 突变有效载荷
• 基本有效载荷
• 超载等

该工具支持对目标域 URL 进行 XSS 扫描，执行的有效载荷与终端本身的完整 URL 一起显示。

注意：确保您的系统上安装了Python ，因为这是一个基于 Python 的工具。点击查看安装过程：Linux上的Python安装步骤

在 Kali Linux OS 上安装 XSS-Loader Tool

第 1 步：使用以下命令在您的 Kali Linux 操作系统中安装该工具。

git clone https://github.com/capture0x/XSS-LOADER/

第 2 步：现在使用以下命令移动到该工具的目录。您必须在目录中移动才能运行该工具。

cd XSS-LOADER

第 3 步：您在 XSS-Loader 的目录中。现在您必须使用以下命令安装 XSS-Loader 的依赖项。

sudo pip3 install -r requirements.txt

第 4 步：所有依赖项都已安装在您的 Kali Linux 操作系统中。现在使用以下命令运行该工具并检查帮助部分。

python3 payloader.py -h

在 Kali Linux 操作系统上使用 XSS-Loader 工具

示例 1 ：基本有效负载

Select Option 1 -> BASIC PAYLOAD

在此示例中，我们正在为 XSS 生成基本有效负载。

Select Option 20 -> MUTATION PAYLOAD

该工具已生成变异有效载荷。

示例 2 ：输入您的有效负载

Select Option 6 -> ENTER YOUR PAYLOAD

在此示例中，我们指定了我们自己的自定义有效负载。

我们已将自定义有效负载作为工具的输入。

Select Option 1 ->  UPPER CASE

我们正在将有效载荷从小写更改为大写。

我们的自定义有效载荷从小写更改为大写。

示例 3 ：XSS 扫描器

Select Option 7 -> XSS SCANNER

在此示例中，我们正在测试目标域的 XSS 安全漏洞。

Target URL -> http://testphp.vulnweb.com/search.php?test=query

我们已经指定了目标域 URL。

Select Option 1 -> BASIC PAYLOAD LIST

我们正在使用将在目标域上测试的基本有效负载列表。

测试过程开始。

示例 4 ：XSS DORK FINDER

Select Option 8 -> XSS DORK FINDER

在此示例中，我们将使用 XSS Dork Finder 进行高级搜索。