X-Recon:一款针对Web安全的XSS安全扫描检测工具

关于X-Recon

X-Recon是一款功能强大的Web安全扫描与检测工具,该工具能够帮助广大研究人员识别网页端输入数据,并执行XSS扫描任务。

功能介绍

1、子域名发现:检索目标网站的相关子域名并将其整合到白名单中。这些子域名可在抓取过程中使用;

2、全站链接发现:根据提供的白名单和指定的max_depth收集整个网站的所有链接;

3、表单和输入提取:识别提取的链接中找到的所有表单和输入,生成 JSON 输出。此 JSON 输出是利用该工具的 XSS 扫描功能的基础;

4、XSS 扫描:一旦开始侦察选项返回包含提取条目的自定义 JSON,X-Recon 工具就可以启动 XSS 漏洞测试过程并为您提供所需的结果;

工具要求

beautifulsoup4

requests

colorama

lxml

工具安装

由于该工具基于纯Python 3开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

复制代码
$ git clone https://github.com/joshkar/X-Recon

然后切换到项目目录中,使用pip命令和项目提供的requirements.txt安装该工具所需的其他依赖组件:

复制代码
$ cd X-Recon

$ python3 -m pip install -r requirements.txt

工具使用

执行下列命令即可启动X-Recon:

复制代码
$ python3 xr.py

我们可以在Get URL部分使用下列地址执行测试样例:

复制代码
http://testphp.vulnweb.com

此工具会维护一个最新的文件扩展名列表,这些文件扩展名会在扫描过程中跳过。默认列表包括图像、样式表和脚本 ( ".css",".js",".mp4",".zip","png",".svg",".jpeg",".webp",".jpg",".gif") 等常见文件类型。您可以通过编辑 setting.json 文件自定义此列表,以更好地满足您的需求。

工具运行演示


注意事项

目前,扫描功能在 SPA(单页应用程序)Web 应用程序上不可用,我们仅在使用 PHP 开发的网站上进行了测试,取得了显著的效果。未来,我们计划将这些功能整合到该工具中。

项目地址

X-Recon :【GitHub传送门

参考资料

Welcome to Python.org

https://en.wikipedia.org/wiki/Linux

相关推荐
zskj_zhyl1 小时前
毫米波雷达守护银发安全:七彩喜跌倒检测仪重构居家养老防线
人工智能·安全·重构
小红卒3 小时前
upload-labs靶场通关详解:第21关 数组绕过
web安全·网络安全·文件上传漏洞
qq_312920116 小时前
开源入侵防御系统——CrowdSec
安全·开源
饶了我吧,放了我吧8 小时前
计算机网络实验——无线局域网安全实验
计算机网络·安全·web安全
kp000008 小时前
GitHub信息收集
web安全·网络安全·信息收集
TracyCoder1239 小时前
Apache Shiro 框架详解
安全·apache·shiro·认证·登录
字节跳动安全中心10 小时前
当AI智能体学会“欺骗”,我们如何自保?来自火山的MCP安全答卷
安全·llm·mcp
muyun280010 小时前
安全访问云端内部应用:用frp的stcp功能解决SSH转发的痛点
运维·安全·ssh·frp
橘子洲头12 小时前
Sigma-Aldrich细胞培养基础知识:细胞培养的安全注意事项
其他·安全
此乃大忽悠15 小时前
XSS(ctfshow)
javascript·web安全·xss·ctfshow