(http://security.divdesign.mx/wp-content/uploads/2017/08/Screenshot_1.png)
XSStrike es un script en python diseñado para detectar y explotar vulnerabilidades XSS.
lista de características que XSStrike tiene para ofrecer:
Hace un fuzz y construye una payload adecuado
Hace fuerzabruta con parametros y payloads
Tiene un crawler incorporado como funcionalidad
Puede realizar ingeniería inversa a las reglas de un WAF / Filter
Detecta e intenta omitir WAFs
Soporte de GET y POST
La mayoría de los payloads son hechas a mano
Número insignificante de falsos positivos
Abre el POC en una ventana del navegador
Instalacionclona el repositorio
user@computer:$ git clone https://github.com/UltimateHackers/XSStrike/
Navega a la carpeta XSStrike
user@computer:$ cd XSStrike
Ahora instala los modulos necesarios
user@computer:$ pip install -r requirements.txt
si todo se instalo correctamente, puedes correr xsstrike
user@computer:$ python xsstrike
Modo de usoPuede ingresar su URL de destino, pero recuerde, tiene que marcar el parámetro más importante insertando "d3v <" en él.
Por ejemplo: target.com/search.php?q=d3v&category=1
Después de introducir la URL, XSStrike comprobará si el objetivo está protegido por un WAF o no. Si su no protegido por WAF obtendrá tres opciones.
1. Fuzzer: Comprueba cómo la entrada se refleja en la página web y luego intenta construir una payload de acuerdo a eso.
(http://security.divdesign.mx/wp-content/uploads/2017/08/fuzz.png)
2. Striker: realiza fuerza bruta de todos los parámetros uno por uno y genera la prueba de concepto en una ventana del navegador.
(http://security.divdesign.mx/wp-content/uploads/2017/08/2.png)
3. Spider: Extrae todos los enlaces presentes en la página principal del objetivo y comprueba los parámetros en ellos para XSS.
(http://security.divdesign.mx/wp-content/uploads/2017/08/3.png)
4. Hulk: Hulk utiliza un enfoque diferente, no se preocupa por la reflexión de la entrada. Tiene una lista de poliglotas y payloads sólidos, solo las introduce una por una en el parámetro de destino y abre la URL resultante en una ventana del navegador.
(http://security.divdesign.mx/wp-content/uploads/2017/08/4.png)
Descarga: https://github.com/UltimateHackers/XSStrike
hola buenos dias sera que me podria ayudar con ese script que publico ya no me ejecuta como sale en la foto y me sale este error
[-] Unable to connect to the target