xss检测工具XSStrike

一、下载安装
下载地址：https://github.com/s0md3v/XSStrike最新版支持python3windows、linux系统都可以运行完成下载之后，进入XSStrike目录：cd XSStrike接下来使用如下命令安装依赖模块：
pip install -r requirements.txt
二、参数说明
-u, --url //指定目标URL
–data //POST方式提交内容
-v, --verbose //详细输出
-f, --file //加载自定义paload字典
-t, --threads //定义线程数
-l, --level //爬行深度
-t, --encode //定义payload编码方式
–json //将POST数据视为JSON
–path //测试URL路径组件
–seeds //从文件中测试、抓取URL
–fuzzer //测试过滤器和Web应用程序防火墙。
–update //更新
–timeout //设置超时时间
–params //指定参数
–crawl //爬行
–proxy //使用代理
–blind //盲测试
–skip //跳过确认提示
–skip-dom //跳过DOM扫描
–headers //提供HTTP标头
-d, --delay //设置延迟
三、使用方法
1.测试一个使用GET方法的网页：
python3 xsstrike.py -u “http://example.com/search.php?q=query”
2.测试POST数据：
python3 xsstrike.py -u “http://example.com/search.php” --data “q=query” python3 xsstrike.py -u “http://example.com/search.php” --data ‘{“q”:“query”} --json’
3.测试URL路径：
python3 xsstrike.py -u “http://example.com/search/form/query” --path
4.从目标网页开始搜寻目标并进行测试
python
3 xsstrike.py -u “http://example.com/page.php” --crawl您可以指定爬网的深度,默认2：
-l python3 xsstrike.py -u “http://example.com/page.php” --crawl -l 3
5.如果要测试文件中的URL，或者只是想添加种子进行爬网，则可以使用该–seeds选项：
python xsstrike.py --seeds urls.txt
6.查找隐藏的参数：
通过解析HTML和暴力破解来查找隐藏的参数python3 xsstrike.py -u “http://example.com/page.php” --params
7.盲XSS：爬行中使用此参数可向每个html表单里面的每个变量插入xss代码
python3 xsstrike.py -u http://example.com/page.php?q=query --crawl --blind
8.模糊测试–fuzzer该模糊器旨在测试过滤器和Web应用程序防火墙，可使用-d选项将延迟设置为1秒。
python3 xsstrike.py -u “http://example.com/search.php?q=query” --fuzzer
9.跳过DOM扫描 在爬网时可跳过DOM XSS扫描，以节省时间
python3 xsstrike.py -u “http://example.com/search.php?q=query” --skip-dom
10.更新：如果跟上–updata选项，XSStrike将检查更新。如果有更新的版本可用，XSStrike将下载更新并将其合并到当前目录中，而不会覆盖其他文件。python3 xsstrike.py --update