网站建设、公众号开发、微网站、微商城、小程序就找牛创网络 !

7*24小时服务专线： 152-150-65-006 023-68263070 扫描二维码加我微信

web安全团结互助，让我们共同进步！

当前位置：主页 > 技术资讯 > 网络安全 > web安全 >

我们的优势： 10年相关行业经验，专业设计师量身定制设计师一对一服务模式，上百家客户案例！企业保证，正规流程，正规合作 7*24小时在线服务，售后无忧

XSpear：XSS扫描与参数分析工具，基于Ruby开发，支持Config文件

文章来源：重庆网络安全围观次数：

分享到:

摘要：XSpear是功能强大的XSS扫描和参数分析工具。该工具基于Ruby。大多数研究人员可以将XSpear用作XSS扫描工具，并确保目标应用程序的安全性。

XSpear是功能强大的XSS扫描和参数分析工具。该工具基于Ruby。大多数研究人员可以将XSpear用作XSS扫描工具，并确保目标应用程序的安全性。

功能特征

1.基于模式匹配的XSS扫描

2.在无头浏览器中检测alert、confirm、prompt事件

3. XSS保护绕过的测试请求和响应

4.测试XSS盲注（XSS Hunter，ezXSS，HBXSS）

5.动态/静态分析：查找SQL错误模式，分析安全Header，分析其他Header以及测试URI路径

6.扫描图元文件

7.基于Ruby的开发（GEM库）

8.显示table base cli-report、filtered rule和testing raw query（url）

9，测试所选参数

10.支持命令行JSON输出格式

11.支持Verbose级别0-3

12.支持Config文件

13.支持针对任意攻击向量的自定义回调代码

工具安装

研究人员可以运行以下命令来完成该工具的安装：

$ gem install XSpear

或安装为本地文件：

$ gem install XSpear- {version} .gem

将以下代码行添加到应用程序的Gemfile中：

gem 'XSpear'

接下来，运行以下命令：

$ bundle

Gem依赖

colorize

selenium-webdriver

terminal-table

progress_bar

如果要使用Gem库完成自动安装和配置，则可以直接运行以下命令：

$ gem install colorize

$ gem install selenium-webdriver

$ gem install terminal-table

$ gem install progress_bar

命令行使用

Usage: xspear -u [target] -[options] [value]

[ e.g ]

$ xspear -u 'https://www.hahwul.com/?q=123' --cookie='role=admin' -v 1 -a

$ xspear -u "http://testphp.vulnweb.com/listproducts.php?cat=123" -v 2

[ Options ]

-u, --url=target_URL [required] Target Url

-d, --data=POST Body [optional] POST Method Body data

-a, --test-all-params [optional] test to all params(include not reflected)

--headers=HEADERS [optional] Add HTTP Headers

--cookie=COOKIE [optional] Add Cookie

--raw=FILENAME [optional] Load raw file(e.g raw_sample.txt)

-p, --param=PARAM [optional] Test paramters

-b, --BLIND=URL [optional] Add vector of Blind XSS

+ with XSS Hunter, ezXSS, HBXSS, etc...

+ e.g : -b https://hahwul.xss.ht

-t, --threads=NUMBER [optional] thread , default: 10

-o, --output=FORMAT [optional] Output format (cli , json)

-c, --config=FILENAME [optional] Using config.json

-v, --verbose=0~3 [optional] Show log depth

+ v=0 : quite mode(only result)

+ v=1 : show scanning status(default)

+ v=2 : show scanning logs

+ v=3 : show detail log(req/res)

-h, --help Prints this help

--version Show XSpear version

--update Show how to update

输出结果类型

（I）NFO：获取信息，例如SQL错误，过滤规则和反射参数等。

（V）UNL：脆弱的XSS，检测警报/提示/确认

（L）OW：低级安全性问题

（M）EDIUM：中级安全性问题

（H）IGH：高级安全性问题

例

扫描XSS：

$ xspear -u“ http://testphp.vulnweb.com/search.php?test=query” -d“ searchFor = yy”

仅输出JSON结果：

$ xspear -u“ http://testphp.vulnweb.com/search.php?test=query” -d“ searchFor = yy” -o json -v 0

设置扫描线程：

$ xspear -u“ http://testphp.vulnweb.com/search.php?test=query” -t 30

测试所选参数：

$ xspear -u "http://testphp.vulnweb.com/search.php?test=query&cat=123&ppl=1fhhahwul" -p cat,test

测试所有参数：

$ xspear -u "http://testphp.vulnweb.com/search.php?test=query&cat=123&ppl=1fhhahwul" -a

测试XSS盲注：

$ xspear -u“ http://testphp.vulnweb.com/search.php?test=query” -b“ https://hahwul.xss.ht” -a

# Set your blind xss host. <-b options>

针对Pipeline：

$ xspear -u {target} -b“您的盲目-xss-host” -a -v 0 -o json

# -u : target

# -b : testing blind xss

# -a : test all params(test to not reflected param)

# -v : verbose, not showing logs at value 1.

# -o : output optios, json!

运行工具的屏幕截图

本文由重庆网络安全整理发布,转载请保留出处，内容部分来自于互联网，如有侵权请联系我们删除。

相关热词搜索：XSpear XSS扫描参数分析工具 Ruby 支持Config文件

上一篇：Tishna:针对Web安全分析的Web服务器安全渗透测试软件
下一篇：人机验证（Captcha）绕过方法：使用Chrome开发者工具在目标网站登录页面上执行简单的元素编辑，以实现Captcha绕过

关于我们

重庆牛创网络科技有限责任公司是一群技术强大、思维活跃、拥有创新精神的年轻人创立，公司致力于为企业提供全面、周到、专业的互联网解决方案，提供网站建设、网络推广、网络安全审计、wifi营销认证、网站运营维护、域名注册、虚拟主机、企业邮局、企业形象设计等多种信息产品和服务。

联系我们

公司电话： 023—68263070
办公地址：重庆市北碚区金华路399号
邮箱：120481297@qq.com
技术咨询：15215065006

“互联网+”方案

重庆网站建设

备案图标渝ICP备19004889号-1 渝公网安备 50010902000896号

行业安全认证

web安全团结互助，让我们共同进步！

XSpear：XSS扫描与参数分析工具，基于Ruby开发，支持Config文件

热门资讯

关于我们

联系我们

“互联网+”方案