XSStrike-Fuzz and Bruteforce Parameters for XSS

[Vertigo]

Приветствую Уважаемых Друзей,Форумчан и Дорогих гостей нашего форума.

Сегодня обзор будет о инструменте-сканере xsstrike от замечательного автора UltimateHackers
Сомневался по-поводу целесообразности обзора.
Но т.к.сведения о сканере начали активно распространяться,решился.

В задачи инструмента входит обнаружение защиты waf с возможностью обхода.
Также создание параметров fuzz и bruteforce с полезной нагрузкой для XSS.
Результаты инструмент предлагает наглядно показать в окне автоматически запущенного браузера.

Работает по следующему алгоритму:
Обозначение URL цели c конкретно-заданным запросом
Сведения о наличии у цели WAF и далее предлагается 3 варианта атаки
1.Fuzzer-данная функция проверяет как входные данные отражаются на веб-странице, а затем пытается создать полезную нагрузку в соответствии с этим.
2.Striker- брутфорс атака с отработкой поочерёдных параметров и отображение результатов в браузере.
3.Hulk - в этой функции используется иной подход ,без отражений параметров ввода.
Здесь же ,отрабатываются массивные полезные нагрузки в соответствии с заданным запросом.

О нагрузках автор говорит,что отбирал их лично,чтобы включить самые целеустремлённые.
Наверное,не лишним будет попросить,чтобы вы были аккуратнее с этим инструментом.

Из личного опыта могу отметить,что сканер отличается агрессивным,местами непредсказуемым поведением.
К примеру,то,что вы видите на скрине,всё получено не введением команды help,а клавишей Enter.
Если нажать Enter ещё раз,то сканер ринется в бой,запустив браузер по адресу http:///

При целенаправленной атаке,инструментом обыгрываются различные payload.
При этом,замечал такие фразы,как no inject,так что надо понимать ,что инструмент пытается сделать))
Он не без недостатков,находится в стадии активной доработки.
Поддерживает пока только функцию запросов GET.POST, согласно планам автора,будет добавлена в ближайшее время.

Поэтому,поймите и меня верно,но считаю,что новичкам стоит дождаться всё же плановой доработки.
Ну а для тех,у кого имеется непреодолимое желание потестировать данный инструмент:

Скачиваем:

git clone https://github.com/UltimateHackers/XSStrike.git

Устанавливаем:

cd XSStrike/
pip install -r requirements.txt

Запускаем :

python xsstrike

Вызов подсказки :

help

Далее,необходимо указать URL тестируемого ресурса с параметром по такому алгоритму

target.com/search.php?q=d3v&category=1

На этом завершаю свой обзор.Благодарю всех за внимание.

 

[Ondrik8]

От себя немножко дополню на тему XSS

XSS’OR – Hack with JavaScript

Online <<---версия

Установка:

git clone https://github.com/evilcos/xssor2
cd xssor2
modify xssor/payload/probe.js

 

[Архип Борисов]

Дополню, у кого не генерирует пэйлоад:

Moved (?s) to flags=re.S because it's a global flag by GodSaveTheDoge · Pull Request #382 · s0md3v/XSStrike

What does it implement/fix? Explain your changes. Global flags aren't allowed not at the start of the regex Where has this been tested? Python Version: 3.11.3 Operating System: Arch Linux Does ...

github.com