xsscrapy, 检测到XSS蜘蛛 66/66 wavsep

分享于 

4分钟阅读

GitHub

  繁體 雙語
xss spider
  • 源代码名称:xsscrapy
  • 源代码网址:http://www.github.com/DanMcInerney/xsscrapy
  • xsscrapy源代码文档
  • xsscrapy源代码下载
  • Git URL:
    git://www.github.com/DanMcInerney/xsscrapy.git
    Git Clone代码到本地:
    git clone http://www.github.com/DanMcInerney/xsscrapy
    Subversion代码到本地:
    $ svn co --depth empty http://www.github.com/DanMcInerney/xsscrapy
    Checked out revision 1.
    $ cd repo
    $ svn up trunk
    
    xsscrapy

    快速,彻底,xss/sqli spider为它提供一个 URL,它可以测试它发现的跨站点脚本和一些 SQL注入 漏洞。 有关SQLi检测的详细信息,请参阅 FAQ。

    从主文件夹中运行:

    ./xsscrapy.py -u http://example.com

    如果你想登录,请抓取:

    ./xsscrapy.py -u http://example.com/login_page -l loginname

    如果你希望使用HTTP基本授权登录,请爬网:

    ./xsscrapy.py -u http://example.com/login_page -l loginname --basic

    如果你希望使用 Cookies:

    ./xsscrapy.py -u http://example.com/login_page --cookie "SessionID=abcdef1234567890"

    如果你希望限制到 20的同时连接,请执行以下操作:

    ./xsscrapy.py -u http://example.com -c 20

    如果你希望每分钟速率限制为 60个请求:

    ./xsscrapy.py -u http://example.com/-r 60

    XSS漏洞在 xsscrapy-vulns.txt 中报告

    依赖项

    wget -O https://bootstrap.pypa.io/get-pip.py
    python get-pip.py
    pip install -r requirements.txt

    可能需要额外的库依赖于操作系统。 libxml2 libxslt libxslt zlib ( 有时是开发)

    测试

    • Cookies
    • User-Agent
    • 引用者
    • URL变量
    • URL结尾
    • URL路径
    • 窗体隐藏和显式

    常见问题解答

    • 如果它给出了错误: ImportError: cannot import name LinkExtractor 这意味着你没有最新版本的scrapy。 你可以使用以下方法安装它: sudo pip install --upgrade scrapy
    • 它被称为 XSScrapy,所以 SQL注入 检测也是如此? 危险的XSS字符和危险的SQL注入 字符之间存在重叠,即单引号和双引号。 检测响应中的SQL注入 错误也很简单,noncpu密集。 因这里,尽管 99%是强大而准确的检测 x11,但是通过错误消息发现,SQL注入 检测是一个简单而有效的。 这里脚本将不测试盲 SQL注入。 它寻找的错误消息直接来自w3af审计插件的sqli。

    许可证

    版权所有( c ) 2014,Dan McInerney所有权利保留。

    如果满足以下条件,则允许在源和二进制表单中重新分配和使用,以及不修改:

    • 以源代码形式重新发布必须保留未经修改的上述版权声明、本许可条件以及其后的免责声明。
    • 二进制形式中的with必须重现上述版权声明,以及在文档和/或者它的他材料中提供的下列声明。
    • 丹。McInerney的名称或者它的贡献者的名称都可以用来在本软件上签名或者推广产品。

    软件由版权持有者和贡献者"是"提供,包括明示或者默示担保,包括但不限于适销性担保和适用于特定用途的FITNESS和适合。 无论在合同中,任何责任或者违反本软件的可能情况,均不得承担任何直接。间接。偶然。特殊。范例或者间接损害( 包括,但不限于采购替代产品或者服务;丢失使用。数据或者利润;或者业务中断),即使是在这里软件的可能情况下。


    Detect  SPI  WAV  XSS  spider  spid  
    相关文章