شرح أداة XSStrike اكتشاف و استغلال ثغرات XSS

شرح XSStrike أداة استغلال ثغرات Cross site scripting

XSStrike هو مجموعة طرق كشف متقدمة لـ ثغرات XSS. لديها محرك قوي . XSStrike هو أول ماسح لثغرات XSS لتوليد الحمولات Payload الخاصة به (الاستغلال). 

أداة ذكية بما فيه الكفاية للكشف عن السياقات المختلفة والخروج منها.

مميزات الاداة XSStrike

• Reflected and DOM XSS scanning
• Multi-threaded crawling
• Context analysis
• Configurable core
• WAF detection & evasion
• Intelligent payload generator
• Handmade HTML & JavaScript parser
• Powerful fuzzing engine
• Blind XSS support
• Highly researched work-flow
• Complete HTTP support
• Bruteforce payloads from a file
• Powered by Photon, Zetanize and Arjun
• Payload Encoding

متطلبات الاداة

Python Versions

XSStrike is fully compatible with python versions >= 3.4

Operating Systems

XSStrike has been tested on Linux (Arch, Debian, Ubnutu), Termux, Windows (7 & 10), Mac, and works as expected. Feel free to report any bugs you encounter.

Dependencies

• tld
• requests
• fuzzywuzzy

كيفية تثبيت متطلبات XSStrike وتشغيلها

1. أولا قم بفتح الطرفية Terminal 
2. ثم انسخ والصق بها الاوامر الاتية 

git clone https://github.com/s0md3v/XSStrike.git

cd XSStrike

pip3 install -r requirements.txt

اذا لم يعمل معك الامر pip3 قم بتثبيته بالامر

apt-get install python3-pip

لتشغيل الأداة أكتب:

python3 xsstrike.py

طريقة فحص المواقع

ادخل اسم الأداة واضف لها المدخل -u وضع أمامه رابط الموقع

هكذا:

python3 xsstrike.py -u http://example.com/search.php?q=query

أترككم مع بعض الصور وتطبيق بعض الأوامر

وميمكنكم الاستعانة لوثائق الأداة لاحترافها

https://github.com/s0md3v/XSStrike/wiki/Usage

DOM XSS

Reflected XSS

Crawling

python xsstrike.py -u "http://example.com/page.php" --crawl

Fuzzing

Bruteforcing payloads from a file

python3 xsstrike.py -u "http://example.com/page.php?q=query" -f /path/to/file.txt

Interactive HTTP Headers Prompt

Hidden Parameter Discovery