欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

BackTrack 5 R1 XSS研究之XSSer(超强XSS攻击利器)使用说明中文版

来源:本站转载 作者:佚名 时间:2012-01-14 TAG: 我要投稿

 简介:

===============================================================
跨站脚本者是一个自动框架,检测,利用和报告基于Web应用XSS漏洞。它包含几个选项,试图绕过某些过滤器,以及各种特殊的代码注入技术。
XSSer由一个遵循GPL V3的团队完成,版权属于psy ( - ).
 
================================================================
选项与设置:
==============================
 
xsser [OPTIONS] [-u <url> |-i <file> |-d <dork>] [-g <get> |-p <post> |-c <crawl>] [Request(s)] [Vector(s)] [Bypasser(s)] [Technique(s)] [Final Injection(s)]
 
Options:
  --version             显示程序的版本号
  -h, --help             显示帮助信息
  -s, --statistics     显示高级显示输出结果
  -v, --verbose       激活冗余模式输出结果
  --gtk                     加载 XSSer GTK 接口
 
  *特别的用法*:
    你可以选择 Vector(s) 和 Bypasser(s) 结合特殊的用法来注入代码:
 
    --imx=IMX           利用XSS代码植入来创建一个假的图象
    --fla=FLASH       利用XSS代码植入来创建一个假的swf
 
  *选择目标*:
    至少有一个选择必须被指定来设置来源以获得目标(s)的url。. 你需要选择然后运行XSSer:
 
    -u URL, --url=URL    键入目标URL进行分析
    -i READFILE            从一个文件中读取URL
    -d DORK                   利用搜索引擎傻瓜式的搜索URL
    --De=DORK_ENGINE    傻瓜式的利用搜索引擎 (bing, altavista,yahoo, baidu, yandex, youdao, webcrawler, ask, etc.查看 dork.py 文件来核对有效的搜索引擎)
 
  *现则HTTP/HTTPS的连接类型*:
    These options can be used to specify which parameter(s) we want to use
    like payload to inject code.
 
    -g GETDATA            输入一个负荷来进行审计,使用 GET参数 (例如: '/menu.php?q=')
    -p POSTDATA         输入一个负荷来进行审计,使用 POST 参数(例如: 'foo=1&bar=')
    -c CRAWLING         目标URL的爬行数目(s): 1-99999
    --Cw=CRAWLER_WIDTH  爬行深度: 1-5
    --Cl                            本地目标URL爬行 (默认 TRUE)
 
  *安装 请求*:
    这些选项被用来制定如何攻击目标和使用负荷. 你有多重选择:
 
    --cookie=COOKIE     改变你的HTTP Cookie header
    --user-agent=AGENT  改变你的 HTTP User-Agent header (默认 SPOOFED)
    --referer=REFERER   使用别的HTTP Referer header (默认 NONE)
    --headers=HEADERS   额外的 HTTP headers 换行隔开
    --auth-type=ATYPE   HTTP 认证类型 (基本值类型或者摘要)
    --auth-cred=ACRED   HTTP 认证证书 (值 name:password)
    --proxy=PROXY       使用代理服务器 (tor:http://localhost:8118)
    --timeout=TIMEOUT   设定时间延迟 (默认 30)
    --delay=DELAY       设定每一个 HTTP request值 (默认 8)
    --threads=THREADS   最大数目的 HTTP requests并发 (默认 5)
    --retries=RETRIES   连接超时重试 (默认 3)
 
  *系统验校器*:
    这些选项对于有过滤器的XSS 攻击很有效 和或者重复所利用的代码:
 
    --hash                如果目标重复内容,则每次检测hash

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载