XSSploit è uno strumento open source che automatizza il processo di individuazione e sfruttmento delle falle Cross-Site Scripting (XSS). Contiene di svolgere diverse opzioni per cercare di bypassare alcuni filtri usufruendo varie tecniche per l’iniezione di codice.
l tool è sviluppato in Python, il che lo rende multi-piattaforma e facile da usare.
- Supporta HTTP POST
- Supporto per intestazione HTTP personalizzata User-Agent
- Cookie
- HTTP Referer
- Autenticazione HTTP – Basic / Digest
- Supporto proxy
- Diverse tecniche di evasione
- Custom XSS Payloads
- Altre funzioni, come fuori tempo predefinito, collegare ri-cerca, delay, ecc
Utilizzo;
python XSSer.py [-u |-i |-d ] [-p |-g |-c ] [OPTIONS] [Request] [Bypassing] [Techniques]
Ecco alcuni esempi:
- Semplice injection da File, con proxy e spoofing HTTP Referer:
$ python XSSer.py -i "file.txt" --proxy "http://127.0.0.1:8118" --referer "F.F.F.F"
- Avanzata injection from File, payloading e utilizzo di Unescape() per bypassare i filtri:
$ python XSSer.py -i "urls.txt" --payload 'a="get";b="URL(\"";c="javascript:";d="alert('XSS');\")";eval(a+b+c+d);' --Une
- Injection da URL, usando il metodo POST, con statistica dei risultati:
$ python XSSer.py -u "http://host.com" -p "index.php?target=search&subtarget=top&searchstring=" -s
- Multiple injections da URL to a parameteri passati attraverso GET, uso di Fuzzing, stampa del risultato in ua “tinyurl” shortered link:
$ python XSSer.py -u "http://host.com" -g "bs/?q=" --Fuzz --Doo --short tinyurl
Scarica XSSer
