Kali 百鬼夜行 BruteXSS

發表於 2017-06-22 | 分類於信息安全 |

安装

依赖是Colorama和Mechanize两个库。但我看到源码中包含了这两个库，所以一般不用自己安装。如果运行失败，那么执行这两条命令手动安装一下。

1 2	pip install colorama pip install Mechanize

之后从 https://github.com/shawarkhanethicalhacker/BruteXSS/zipball/master 下载所有文件，解压。

关于字典

还需要单词列表，原版的 wordlist.txt 有 20 条语句，只能执行基本的 XSS 检查。
这个文件有 100 条语句，可以执行相对全面的 XSS 检查。
https://github.com/ym2011/penetration/blob/master/BruteXSS/wordlist-small.txt
这个文件有 200 条语句，可以执行绕过 WAF 的 XSS 检查。
https://github.com/ym2011/penetration/blob/master/BruteXSS/wordlist-medium.txt
这个文件有 5000 条语句，可以非常全面并且执行绕过 WAF 的 XSS 检查。
https://github.com/ym2011/penetration/blob/master/BruteXSS/wordlist-huge.txt

基本用法

[?] 选择方法: [G]GET 或者 [P]Post (G/P): G
[?] 输入 URL:
[?] > http://localhost/xss.php?xss=
[+] 检测 localhost 是可用的...
[+] localhost is available! Good!
[?] 输入字典的位置 (按Enter键使用默认 wordlist.txt)
[?] > wordlist.txt

Ray

关于计算机科学的学习经历与精彩文章分享。

15 分類

GitHub Twitter Weibo DouBan ZhiHu

Creative Commons

1. 安装
2. 关于字典
3. 基本用法