大范围XSS扫描工具：XSS-Freak

XSS-Freak

XSS-Freak是python3编写的xss扫描器。它会在网站上搜寻（进行爆破式扫描）所有可能的链接和目录以扩大其攻击范围。然后，它们会在其中搜索输入标签，然后启动一堆xss payloads。如果输入没有经过清理并且容易受到xss攻击，则该工具将拒绝…

要求

1. 一个看似存在 XSS 的网页
2. 一台能够跑多线程的 pc 机
3. 网速够快
4. 运气

工作原理及流程

首先，您提供要扫描的目标网站以及包含不同XSS有效负载（更好的数量和更有效的功能，以及检测到的最低有效负载）的列表，然后它在主要网站（索引页面）中搜寻可能的链接和目录，然后在搜寻到的目录中搜寻（ （如果存在））以获取其他链接，而这些链接在初始爬网中找不到，并将其添加到其攻击范围内。然后，该工具将对在初始扫描中找到的所有链接以及来自HTML输入的目录中的链接进行爬网。然后，该工具将所有找到的HTML输入添加到其攻击范围。然后，该工具会使用列表中用户提供的XSS有效负载，在所有HTML输入上启动攻击。如果未正确过滤和过滤HTML输入，则脚本将立即检测到该脚本并打印出Vulnerable参数。

优点：

• 支持多线程以提高效率和加快处理速度。
• 其中一种。
• 爬网能力所有站点不仅限于特定网页。
• 多才多艺。

缺点：

• 手机上不支持此功能，因为对硬件的需求很高。
• 需要使用高速互联网连接才能正常工作，否则您将出错或花费太多时间。
• 需要中级到最佳硬件，因为它处理和管理大量线程，并且脚本会导致计算机滞后或崩溃，因此任何旧硬件都会引起注意，请当心。

下载安装与使用

$ git clone https://github.com/hacker900123/XSS-Freak

$ pip install -r requirements.txt
$ python3 XSS-Freak.py