XSS漏洞发现工具

一、工具介绍

一款基于 chrome headless 的 XSS 漏洞发现工具。它的主要特性有:

1、动态地语义分析网页中的JavaScript源码，Hook关键点，利用污点分析检出 Dom-Based XSS

2、极低的误报率：通过监听浏览器对话框弹出事件等进行验证。

3、启动模式：被动代理, (即将支持主动爬虫扫描)…

4、漏洞通知：dingbot, …

二、使用方法

1、帮助文档

nbsp;./xssfinderNAME:   xssfinder - XSS discovery toolUSAGE:   xssfinder [global options] command [command options] [arguments...]VERSION:   v0.1.0COMMANDS:   mitm     Passive agent scanning   help, h  Shows a list of commands or help for one commandGLOBAL OPTIONS:   --debug, -d             enable debug mode (default: false)   --verbose, --vv         enable very-verbose mode (default: false)   --notifier-yaml value   set notifier yaml configuration file   --outjson               set logger output json format (default: false)   --exec value, -e value  set browser exec path   --noheadless            disable browser headless mode (default: false)   --incognito             enable browser incognito mode (default: false)   --proxy value           set proxy and all traffic will be routed from the proxy server through   --help, -h              show help (default: false)   --version, -v           print the version (default: false)

2、mitm 模式

启动被动扫描(中间人)模式，默认监听  127.0.0.1:8222# 下载并信任证书 http://xssfinder.ca./xssfinder mitm

3、漏洞通知

notifier.yaml 模版：dingbot:  token: xxx  secret: xxxx# --notifier-yaml 指定通知机器人配置./xssfinder --notifier-yaml notifier.yaml mitm

三、项目地址

https://github.com/Buzz2d0/xssfinder

本工具仅适用于安全技术研究，严禁使用本工具发起网络黑客攻击，造成的法律后果，请使用者自负。

原创文章，作者：mOon，如若转载，请注明出处：https://www.moonsec.com/4776.html

XSS漏洞发现工具 –xssfinder

联系我们

400-800-8888

XSS漏洞发现工具 –xssfinder

相关推荐

请登录

联系我们

400-800-8888