XSStrike v1.2 – realiza ataques XSS de manera automatizada [Video]

0
2315
views

XSStrike es un script en python diseñado para detectar y explotar vulnerabilidades XSS.

  • lista de características que XSStrike tiene para ofrecer:
  • Hace un fuzz y construye una payload adecuado
  • Hace fuerzabruta con parametros y payloads
  • Tiene un crawler incorporado como funcionalidad
  • Puede realizar ingeniería inversa a las reglas de un WAF / Filter
  • Detecta e intenta omitir WAFs
  • Soporte de GET y POST
  • La mayoría de los payloads son hechas a mano
  • Número insignificante de falsos positivos
  • Abre el POC en una ventana del navegador

Instalacion

clona el repositorio

git clone https://github.com/UltimateHackers/XSStrike/

Navega a la carpeta XSStrike

cd XSStrike

Ahora instala los modulos necesarios

pip install -r requirements.txt

si todo se instalo correctamente, puedes correr xsstrike

python xsstrike

Modo de uso

Puede ingresar su URL de destino, pero recuerde, tiene que marcar el parámetro más importante insertando “d3v <” en él.
Por ejemplo: target.com/search.php?q=d3v&category=1
Después de introducir la URL, XSStrike comprobará si el objetivo está protegido por un WAF o no. Si su no protegido por WAF obtendrá tres opciones.

1. Fuzzer: Comprueba cómo la entrada se refleja en la página web y luego intenta construir una payload de acuerdo a eso.

2. Striker: realiza fuerza bruta de todos los parámetros uno por uno y genera la prueba de concepto en una ventana del navegador.

3. Spider: Extrae todos los enlaces presentes en la página principal del objetivo y comprueba los parámetros en ellos para XSS.

4. Hulk: Hulk utiliza un enfoque diferente, no se preocupa por la reflexión de la entrada. Tiene una lista de poliglotas y payloads sólidos, solo las introduce una por una en el parámetro de destino y abre la URL resultante en una ventana del navegador.

Video

Descarga XSStrike

Toda la información proporcionada en este medio es para fines educativos, en ningún caso alguno se hace responsable e cualquier mal uso de la información. Toda la información es para el desarrollo e investigación de métodos de seguridad informática.

No olvides visitar nuestra hacking shop

shop