XSStrike 进行 XSS 漏洞测试

XSStrike 是一个功能强大的 XSS 漏洞测试工具,专为检测、验证和利用反射型、存储型、DOM型 XSS 漏洞而设计,适合配合手工测试,也可用于自动化发现。

🛠️ 1. 安装 XSStrike

确保系统中有 Python3 和 git:

php 复制代码
git clone https://github.com/s0md3v/XSStrike.git
cd XSStrike
pip3 install -r requirements.txt

🚀 2. 基本用法

✅ 测试 URL 参数中的 XSS:

php 复制代码
python3 xsstrike.py -u "http://target.com/vuln.php?param=test"

✅ 如果需要带 Cookie 测试(如 DVWA):

php 复制代码
python3 xsstrike.py -u "http://localhost:8080/vulnerabilities/xss_r/?name=test" \
  --headers "Cookie: PHPSESSID=xxx; security=low"

🧼 输出说明

  • Payload: 表示发现的 XSS payload
  • Efficiency: 表示触发反射的能力(100 最优)
  • Confidence: 表示是否存在漏洞的置信度
  • Would you like to continue scanning? → 加 --skip 自动跳过

🧪 3. 常用参数说明

参数 说明
-u 目标 URL
--data POST 请求数据
--headers 自定义请求头(如 Cookie)
--crawl 对目标站点爬虫
--skip 跳过每次手动确认,提高自动化
--blind 注入盲 XSS payload
--path 测试路径部分是否存在注入
--json 指定 POST 数据是 JSON 格式
--fuzzer 使用模糊测试器进行测试

🧰 示例:POST 请求 + Cookie

php 复制代码
python3 xsstrike.py -u "http://target.com/api" \
  --data "username=test&password=test" \
  --headers "Content-Type: application/x-www-form-urlencoded; Cookie: PHPSESSID=xxx" \
  --skip

🔐 四、实战建议

  • XSStrike 不等于万能扫描器,建议配合手动测试和 Burp Suite 使用。
  • 对于 DOM 型 XSS,它有检测能力,但建议搭配手动调试 DevTools。
  • 若遇防火墙,可降低速率,加上 --delay 参数。
相关推荐
mogexiuluo19 小时前
kali下安装beef-xss报错-启动失败-简单详细
前端·xss
小苑同学1 天前
PaperReading:《Manipulating Multimodal Agents via Cross-Modal Prompt Injection》
人工智能·网络安全·语言模型·prompt·安全性测试
Codingwiz_Joy13 天前
Day43 PHP(mysql不同注入类型、mysql不同注入点、mysql传输不同数据类型 )
网络安全·php·安全性测试
携欢14 天前
PortSwigger靶场之Stored DOM XSS通关秘籍
前端·xss
会有钱的-_-15 天前
基于webpack的场景解决
前端·vue.js·webpack·安全性测试
练习时长一年15 天前
后端接口防止XSS漏洞攻击
前端·xss
携欢16 天前
PortSwigger靶场之DOM XSS in jQuery selector sink using a hashchange event通关秘籍
前端·jquery·xss
在安全厂商修设备16 天前
XSS 跨站脚本攻击剖析与防御 - 第一章:XSS 初探
web安全·网络安全·xss
刀客12316 天前
测试之道:从新手到专家实战(四)
python·功能测试·程序人生·测试用例·集成测试·学习方法·安全性测试
普通网友17 天前
前端安全攻防:XSS, CSRF 等防范与检测
前端·安全·xss