BruteXSS介绍:
BruteXSS是一个非常强大和快速的跨站点脚本暴力注入。它用于暴力注入一个参数。该BruteXSS从指定的词库加载多种有效载荷进行注入并且使用指定的载荷和扫描检查这些参数很容易受到XSS漏洞。得益于非常强大的扫描功能。在执行任务时, BruteXSS是非常准确而且极少误报。 BruteXSS支持POST和GET请求,适应现代Web应用程序
下载地址:
https://github.com/ym2011/penetration/tree/master/BruteXSS
实验环境:
python 2.7
树莓派+apache2
ip:192.168.99.147
实验步骤:
一、在www目录下,创建带有xss漏洞的测试页面:xssdemo.php
<?php $input=$_GET["PARAM"]; echo "<div>".$input."</div>"; ?>
访问测试效果如图
2、使用BruteXSS对这个页面中的PARAM参数进行测试
1)运行工具:
python brutexss.py
2)选择参数请求方式:这里使用get方式
3)输入url:http://192.168.99.147/xssdemo.php?PARAM=
4)选择字典文件:这里使用 wordlist-small.txt
测试过程和结果如下图
本文出自 “0X0000null” 博客,请务必保留此出处http://isnull.blog.51cto.com/10388625/1828234
原文:http://isnull.blog.51cto.com/10388625/1828234
