XSSight – Поиск XSS и Внедрение

XSSight - Automated XSS Scanner And Payload Injector

 

XSS - очень распространенный тип уязвимости, который очень широко распространен и легко обнаруживается.

Что такое XSS?

Злоумышленник может вставить ненадежные фрагменты JavaScript в ваше приложение без проверки. Этот JavaScript затем выполняется жертвой, посещающей сайт.

XSS классифицируется на три типа: Reflected XSS, Stored XSS, DOM-Based XSS. Чтобы узнать больше об уязвимостях XSS и OWSAP 10.


XSSight - сканер XSS

Как найти XSS? Есть множество различных инструментов, таких как Burp, ZAP, Vega, Nikito. Сегодня мы рассмотрим XSSight на платформе Team Ultimate.

Ссылка на git!
 1. Скачиваем git clone https://github.com/UltimateHackers/XSSight и переходим в папку 
 cd XSSight

XSSight - Automated XSS Scanner And Payload Injector

2. Запускаем командой python xssight.py

XSSight - Automated XSS Scanner And Payload Injector

3. Вводим URL  и нажимаем Enter

Начинается сканирования на XSS

Он вводит символы, такие как / \ "<>, и проверяет исходный код страницы сайта, чтобы понять, как страница обрабатывает информацию и позволяет нам знать, является ли она беззащитной против XSS.

4. Далее нам предлагают выбрать пункт выбираем 1

XSSight - Automated XSS Scanner And Payload Injector


Из результата мы видим, что параметр уязвим для XSS-инъекции.

Payload Injector тест.

1.Выбираем 2 и смотрим результат

XSSight - Automated XSS Scanner And Payload Injector

вот и все) 



			

Добавить комментарий