XSpear:一款强大的XSS漏洞扫描器工具

XSpear XSS扫描器

XSpear是一款基于RubyGems的的XSS漏洞扫描器。拥有常见的XSS漏洞扫描攻击测试功能。还可进行参数分析。

XSpear:一款强大的XSS漏洞扫描器工具
XSS漏洞扫描器

主要特点

  • 基于模式匹配的XSS扫描
  • 检测alert confirm prompt无头浏览器上的事件(使用Selenium)
  • 测试XSS保护旁路和反射参数的请求/响应
    • 反射的参数
    • 过滤测试 event handler HTML tag Special Char
  • 测试盲XSS(使用XSS Hunter,ezXSS,HBXSS,等等所有网址盲测...)
  • 动态/静态分析
    • 查找SQL错误模式
    • 分析Security头(CSP HSTS X-frame-optionsXSS-protection等..)
    • 分析其他标题..(服务器版本,内容类型等...)
  • 从Raw文件扫描(Burp suite,ZAP Request)
  • 在ruby代码上运行的XSpear(使用Gem库)
  • 显示table base cli-reportfiltered ruletesting raw query(网址)
  • 在所选参数下进行测试
  • 支持输出格式 cli json
    • cli:摘要,过滤规则(params),Raw Query
  • 支持详细级别(退出/正常/原始数据)
  • 支持自定义回调代码,以测试各种攻击向量

XSpear安装

安装

或者本地安装特定版本

将此行添加到应用程序的Gemfile:

然后执行

依赖 gems

colorize selenium-webdriver terminal-table
如果您将其配置为在Gem库中自动安装,出现依赖问题,请尝试:

XSpear cli使用

结果类型

  • (I)NFO:获取信息(例如sql错误,过滤规则,反射的参数等...)
  • (V)UNL:易受攻击的XSS,已检查警报/提示/确认与Selenium
  • (L)OW:低级问题
  • (M)EDIUM:中等水平问题
  • (H)IGH:高级别问题

个案分析

扫描XSS

json输出

详细日志

设置线程

在所选参数下进行测试

测试盲目xss

等等...

此外,你还可以自已添加模块,编写测试功能等等,更多见readme