德斯软件资讯6月26日消息,作为sicklescan的功能模块,xssfork的主要开发目的是检测xss漏洞。
一般采用传统的xss探测工具 payload in response的方式,即在发送带payload的http请求后,通过检测响应包中payload的完整性来判断。这种方法有很多缺陷。
第一:dom类xsss不能准确检测
第二:库不能真正模拟浏览器,如requests
第三:网页js无法交互
如何解决?如果你能用浏览器代替这个模块,自动hook是最好的。幸运的是,我了解到phantomjs。当然,google浏览器现在也支持headless模式。类似地,您也可以使用gogle浏览器进行测试。
原理
对于这种fuzz过程,基本上是提前准备一些payload,然后加载执行。对于这种io密集的扫描模型,多线程更适合后端使用。但是,由于phantomjs可以理解为无界面浏览器,加载时缺陷明显,内存更多。用它来包装自然不像requests库那么轻。
编码脚本
我收集了71个基本的payload模块。
总结
今天就分享到这里吧,德斯软件资讯是一个软件分享基地,其中包括微信,红包辅助,支付宝,聊讯,微客优品,千喜惠,优乐购,淘卷淘,花惜,美宜购,有趣超市,淘金甄选,韵鹿严选,海豚甄选,泡泡易选,逗鱼时刻,惊喜淘,会友,易凡,坤米,达信酷,QQ,多多联盟,加圈,创南北,陌陌,钉钉,思语,百盛,苹果微信多开,微信分身,悦信,安卓微信多开,新密购等社交平台的功能有秒,避雷,埋雷软件,单透,扫尾,秒抢等一些红包强项外挂功能软件分享。喜欢的请关注收藏,谢谢。