也是不知道在哪邊看到的,反正容易安裝就裝起來玩玩看:「XSScrapy: fast, thorough XSS vulnerability spider」。XSScrapy 是一套自動化攻擊軟體,是目前這類測試軟體裡用起來最簡單的版本。
直接 clone 下來就可以執行了,如果有遇到 dependency 的問題,可以透過 pip 安裝:
pip install -r requirements.txt
執行的方法就這樣:
./xsscrapy.py -u http://example.com
上面這個方法是在訪客模式下慢慢跑,你也可以給他一組帳號密碼讓他填 form,他會試著登入後不斷打下去:
./xsscrapy.py -u http://example.com/login_page -l loginname -p pa$$word
也可以用 HTTP Basic Authentication:
./xsscrapy.py -u http://example.com/login_page -l loginname -p pa$$word --basic
然後發現的問題會寫到 XSS-vulnerable.txt 裡面:
XSS vulnerabilities are reported in XSS-vulnerable.txt
用法就這樣而已... XD