今天继续给大家介绍渗透测试相关知识，本文主要内容是XSStrike工具使用说明。

免责声明：
本文所介绍的内容仅做学习交流使用，严禁利用文中技术进行非法行为，否则造成一切严重后果自负！
再次强调：严禁对未授权设备进行渗透测试！

一、XSStrike工具简介

XSStrike是一个配备有4个手写分析器的XSS检测工具，同时还是一个智能的payload生成器、一个强大的Fuzz测试引擎和一个快速的爬行工具。
XSStrike不像其他工具一样会运用payload并检测它是否工作，XSStrike运用多个分析器分析数据包响应，然后通过结合语篇分析和Fuzz引擎，制作能够保证成功的payload。
XSStrike具有以下主要特点：

• 反射性和DOM型XSS漏洞扫描
• 多线程爬取
• 语篇分析
• 可配置的内核
• WAF检测和绕过
• 老旧JS库扫描
• 智能payload生成器
• 手写HTML和JavaScript分析器
• 强大的Fuzz测试引擎
• 盲打XSS支持
• 高效的工作效率
• 完整的HTTP支持
• 从文件中读取payload
• 支持payload编码

二、XSStrike工具参数介绍

XSStrike工具有很多参数，主要参数如下表所示：

参数	作用
-h,–help	查看详细使用说明
-u,–url	指定目标URL
–data	指定POST提交的数据
-f,–file	指定从文件中读取payload
-t,–encode	指定payload的编码方式
–fuzzer	测试WAF
–headers	指定数据包中携带的header头部
–params	指定XSS测试的参数

三、XSStrike工具使用示例

最后，我们使用XSStrike工具尝试进行XSS实战。
进入XSStrike工具当前目录下，执行命令：

python .\xsstrike.py -u http://192.168.136.7/xss/level1.php?name=test --fuzzer

可以对指定目标进行探测，结果如下所示：

从上图可以看出，绿色部分为可以通过测试的，WAF不会拦截的payload，而黄色部分则是WAF会拦截的payload。
注意：这里探测的是WAF是否拦击，而不是WAF是否生效，如果页面对payload进行了htmlspecialchar()过滤，那么在当前是无法测出来的。
针对上述payload，如果我们删除了–fuzzer参数，结果如下所示：

从上图中我们可以看出，XSStrike会不断的用payload进行测试，结果如下所示：

原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200