XSS漏洞发现工具 -- xssfinder
2022-8-4 08:8:56 Author: 系统安全运维(查看原文) 阅读量:33 收藏

一、工具介绍

一款基于 chrome headless 的 XSS 漏洞发现工具。它的主要特性有:
1、动态地语义分析网页中的JavaScript源码,Hook关键点,利用污点分析检出 Dom-Based XSS
2、极低的误报率:通过监听浏览器对话框弹出事件等进行验证。
3、启动模式:被动代理, (即将支持主动爬虫扫描)...
4、漏洞通知:dingbot, ...

二、使用方法

1、帮助文档
$ ./xssfinderNAME:   xssfinder - XSS discovery toolUSAGE:   xssfinder [global options] command [command options] [arguments...]VERSION:   v0.1.0COMMANDS:   mitm     Passive agent scanning   help, h  Shows a list of commands or help for one commandGLOBAL OPTIONS:   --debug, -d             enable debug mode (default: false)   --verbose, --vv         enable very-verbose mode (default: false)   --notifier-yaml value   set notifier yaml configuration file   --outjson               set logger output json format (default: false)   --exec value, -e value  set browser exec path   --noheadless            disable browser headless mode (default: false)   --incognito             enable browser incognito mode (default: false)   --proxy value           set proxy and all traffic will be routed from the proxy server through   --help, -h              show help (default: false)   --version, -v           print the version (default: false)

2、mitm 模式

启动被动扫描(中间人)模式,默认监听  127.0.0.1:8222# 下载并信任证书 http://xssfinder.ca./xssfinder mitm

3、漏洞通知

notifier.yaml 模版:dingbot:  token: xxx  secret: xxxx# --notifier-yaml 指定通知机器人配置./xssfinder --notifier-yaml notifier.yaml mitm

三、下载地址

项目地址:https://github.com/Buzz2d0/xssfinder

好文推荐

工具|红队快速批量打点

实战 | App优惠劵无限领取漏洞挖掘记录

利用 EHole 进行红队快速批量打点

神兵利器 - presshell

渗透测试-Ngrok内网映射与穿透

分享 | 几种实战成功过的webshell免杀方式

推荐一款自动向hackerone发送漏洞报告的扫描器

李姐姐开源DNSLog工具eyes.sh

欢迎关注 系统安全运维


文章来源: http://mp.weixin.qq.com/s?__biz=Mzk0NjE0NDc5OQ==&mid=2247506813&idx=3&sn=42afd0fb52c73c39ebe5d1ea4f6cea34&chksm=c308080df47f811b275755d8ec2bd98208d3df148d44abc6c2c9417b47d30c29aa7f701bc63f#rd
如有侵权请联系:admin#unsafe.sh