Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

XSStrike v1.2 – realiza ataques XSS de manera automatizada

  • 1 Respuestas
  • 5167 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5499
  • Actividad:
    18.33%
  • Reputación 36
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« en: Agosto 04, 2017, 03:32:22 pm »

XSStrike es un script en python diseñado para detectar y explotar vulnerabilidades XSS.

    lista de características que XSStrike tiene para ofrecer:
    Hace un fuzz y construye una payload adecuado
    Hace fuerzabruta con parametros y payloads
    Tiene un crawler incorporado como funcionalidad
    Puede realizar ingeniería inversa a las reglas de un WAF / Filter
    Detecta e intenta omitir WAFs
    Soporte de GET y POST
    La mayoría de los payloads son hechas a mano
    Número insignificante de falsos positivos
    Abre el POC en una ventana del navegador

Instalacion

clona el repositorio

Código: Bash
  1. [email protected]:$ git clone https://github.com/UltimateHackers/XSStrike/

Navega a la carpeta XSStrike

Código: Bash
  1. [email protected]:$ cd XSStrike

Ahora instala los modulos necesarios

Código: Bash
  1. [email protected]:$ pip install -r requirements.txt

si todo se instalo correctamente, puedes correr xsstrike

Código: Bash
  1. [email protected]:$ python xsstrike

Modo de uso

Puede ingresar su URL de destino, pero recuerde, tiene que marcar el parámetro más importante insertando “d3v <” en él.
Por ejemplo: target.com/search.php?q=d3v&category=1
Después de introducir la URL, XSStrike comprobará si el objetivo está protegido por un WAF o no. Si su no protegido por WAF obtendrá tres opciones.

1. Fuzzer: Comprueba cómo la entrada se refleja en la página web y luego intenta construir una payload de acuerdo a eso.


2. Striker: realiza fuerza bruta de todos los parámetros uno por uno y genera la prueba de concepto en una ventana del navegador.


3. Spider: Extrae todos los enlaces presentes en la página principal del objetivo y comprueba los parámetros en ellos para XSS.


4. Hulk: Hulk utiliza un enfoque diferente, no se preocupa por la reflexión de la entrada. Tiene una lista de poliglotas y payloads sólidos, solo las introduce una por una en el parámetro de destino y abre la URL resultante en una ventana del navegador.



Descarga: https://github.com/UltimateHackers/XSStrike


Desconectado NSA17

  • *
  • Underc0der
  • Mensajes: 12
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
  • Twitter: @Leon17barbosa
« Respuesta #1 en: Enero 23, 2018, 11:16:33 am »
hola buenos dias sera que me podria ayudar con ese script que publico ya no me ejecuta como sale en la foto  y me sale este error

[-] Unable to connect to the target

 

¿Te gustó el post? COMPARTILO!



mod_security y mod_evasive en GNU/Linux CentOS (para detener ataques DDOS).

Iniciado por july

Respuestas: 5
Vistas: 5443
Último mensaje Noviembre 21, 2012, 05:30:47 am
por Adastra
Script para automatizar 2 grados de ataques efectivos en sqlmap

Iniciado por VulN3T

Respuestas: 0
Vistas: 2833
Último mensaje Diciembre 16, 2017, 01:33:12 am
por VulN3T
[Cloudflare] Deteniendo ataques DDos/Proxys/Otros

Iniciado por ZanGetsu

Respuestas: 5
Vistas: 4798
Último mensaje Septiembre 27, 2013, 09:27:20 pm
por ZanGetsu
Proteger nuestro server web de ataques con .htaccess

Iniciado por july

Respuestas: 12
Vistas: 8015
Último mensaje Septiembre 27, 2019, 06:29:11 am
por Lucian101
Como hacer ataques DDoS [linux]

Iniciado por unkdown

Respuestas: 3
Vistas: 4051
Último mensaje Julio 21, 2015, 07:51:12 pm
por Baxtar