1. 首页
  2. 下载

XSS漏洞发现工具 –xssfinder

【推荐学习】暗月渗透测试培训 十多年渗透经验,体系化培训渗透测试 、高效学习渗透测试,欢迎添加微信好友aptimeok 咨询。

一、工具介绍

一款基于 chrome headless 的 XSS 漏洞发现工具。它的主要特性有:

1、动态地语义分析网页中的JavaScript源码,Hook关键点,利用污点分析检出 Dom-Based XSS

2、极低的误报率:通过监听浏览器对话框弹出事件等进行验证。

3、启动模式:被动代理, (即将支持主动爬虫扫描)…

4、漏洞通知:dingbot, …

二、使用方法

1、帮助文档


nbsp;./xssfinderNAME:   xssfinder - XSS discovery toolUSAGE:   xssfinder [global options] command [command options] [arguments...]VERSION:   v0.1.0COMMANDS:   mitm     Passive agent scanning   help, h  Shows a list of commands or help for one commandGLOBAL OPTIONS:   --debug, -d             enable debug mode (default: false)   --verbose, --vv         enable very-verbose mode (default: false)   --notifier-yaml value   set notifier yaml configuration file   --outjson               set logger output json format (default: false)   --exec value, -e value  set browser exec path   --noheadless            disable browser headless mode (default: false)   --incognito             enable browser incognito mode (default: false)   --proxy value           set proxy and all traffic will be routed from the proxy server through   --help, -h              show help (default: false)   --version, -v           print the version (default: false)

2、mitm 模式

启动被动扫描(中间人)模式,默认监听  127.0.0.1:8222# 下载并信任证书 http://xssfinder.ca./xssfinder mitm

XSS漏洞发现工具 --xssfinder

3、漏洞通知

notifier.yaml 模版:dingbot:  token: xxx  secret: xxxx# --notifier-yaml 指定通知机器人配置./xssfinder --notifier-yaml notifier.yaml mitm

XSS漏洞发现工具 --xssfinder

XSS漏洞发现工具 --xssfinder

三、项目地址

https://github.com/Buzz2d0/xssfinder

本工具仅适用于安全技术研究,严禁使用本工具发起网络黑客攻击,造成的法律后果,请使用者自负。

原创文章,作者:mOon,如若转载,请注明出处:https://www.moonsec.com/4776.html

联系我们

400-800-8888

在线咨询:点击这里给我发消息

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息