15 подписчиков
#XSStrike - это набор для обнаружения межсайтового скриптинга, оснащенный четырьмя парсерами, написанными вручную, интеллектуальным генератором полезной нагрузки, мощным механизмом фаззинга и невероятно быстрым краулером.
Вместо того чтобы внедрять полезную нагрузку и проверять ее работу, как это делают все остальные инструменты, XSStrike анализирует ответ с помощью нескольких парсеров, а затем создает полезную нагрузку, которая гарантированно сработает благодаря контекстному анализу, интегрированному с механизмом fuzzing.
Вот несколько примеров полезных нагрузок, сгенерированных XSStrike:
}]};(confirm)()//\
<A%0aONMouseOvER%0d=%0d[8].find(confirm)>z
</tiTlE/><a%0donpOintErentER%0d=%0d(prompt)`>z
</SCRiPT/><DETAILs/+/onpoINTERenTEr%0a=%0aa=prompt,a()//
Кроме того, XSStrike обладает функциями ползания, фаззинга, обнаружения параметров, обнаружения WAF. Он также сканирует DOM на наличие XSS-уязвимостей.
Основные характеристики:
Сканирование отраженных и DOM XSS
Многопоточное сканирование
Контекстный анализ
Настраиваемое ядро
Обнаружение и обход WAF
Сканирование устаревших JS lib
Интеллектуальный генератор полезной нагрузки
Ручной парсер HTML и JavaScript
Мощный механизм фаззинга
Поддержка слепого XSS
Высокотехнологичный рабочий процесс
Полная поддержка HTTP
Передача полезной нагрузки из файла
Работает на базе Photon, Zetanize и Arjun
Кодирование полезной нагрузки
1 минута
9 января 2024