XSS漏洞发现工具 –xssfinder
【推荐学习】暗月渗透测试培训 十多年渗透经验,体系化培训渗透测试 、高效学习渗透测试,欢迎添加微信好友aptimeok 咨询。
一、工具介绍
一款基于 chrome headless 的 XSS 漏洞发现工具。它的主要特性有:
1、动态地语义分析网页中的JavaScript源码,Hook关键点,利用污点分析检出 Dom-Based XSS
2、极低的误报率:通过监听浏览器对话框弹出事件等进行验证。
3、启动模式:被动代理, (即将支持主动爬虫扫描)…
4、漏洞通知:dingbot, …
二、使用方法
1、帮助文档
nbsp;./xssfinder
NAME:
xssfinder - XSS discovery tool
USAGE:
xssfinder [global options] command [command options] [arguments...]
VERSION:
v0.1.0
COMMANDS:
mitm Passive agent scanning
help, h Shows a list of commands or help for one command
GLOBAL OPTIONS:
--debug, -d enable debug mode (default: false)
--verbose, --vv enable very-verbose mode (default: false)
--notifier-yaml value set notifier yaml configuration file
--outjson set logger output json format (default: false)
--exec value, -e value set browser exec path
--noheadless disable browser headless mode (default: false)
--incognito enable browser incognito mode (default: false)
--proxy value set proxy and all traffic will be routed from the proxy server through
--help, -h show help (default: false)
--version, -v print the version (default: false)
2、mitm 模式
启动被动扫描(中间人)模式,默认监听 127.0.0.1:8222
# 下载并信任证书 http://xssfinder.ca
./xssfinder mitm
3、漏洞通知
notifier.yaml 模版:
dingbot:
token: xxx
secret: xxxx
# --notifier-yaml 指定通知机器人配置
./xssfinder --notifier-yaml notifier.yaml mitm
三、项目地址
https://github.com/Buzz2d0/xssfinder
本工具仅适用于安全技术研究,严禁使用本工具发起网络黑客攻击,造成的法律后果,请使用者自负。
原创文章,作者:mOon,如若转载,请注明出处:https://www.moonsec.com/4776.html