XSS-Loader: XSS Scanner και Payload Generator

Το είναι ένα κιτ εργαλείων που επιτρέπει στο χρήστη να δημιουργήσει payloads για XSS injection, να σαρώσει ιστότοπους για πιθανές εκμεταλλεύσεις XSS και να χρησιμοποιήσει τη μηχανής αναζήτησης της Google για να βρει ιστότοπους που μπορεί να είναι ευάλωτοι σε XSS.

Τι είναι μια επίθεση Cross-site Scripting (XSS);

Με τον όρο Cross-site Scripting ή XSS αναφερόμαστε σε μία ευπάθεια ασφάλειας που επιτρέπει σε έναν κακόβουλο χρήστη να προσθέσει κώδικα σε μία ιστοσελίδα.

Με τη σειρά του, ο κώδικας αυτός θα εκτελεστεί στον browser του χρήστη που θα επιχειρήσει να επισκεφθεί την συγκεκριμένη ιστοσελίδα.

Οι επιτιθέμενοι μπορούν να εκμεταλλευτούν μία cross-site scripting ευπάθεια προκειμένου να παρακάμψουν ς πρόσβασης, όπως το Same-Origin Policy. Ο αντίκτυπος των εν λόγω ποικίλλει από μικρές αλλαγές που ενδεχομένως επηρεάζουν την εμπειρία ενός χρήστη, μέχρι μεγάλης εμβέλειας ζημιές, ανάλογα με την ευαισθησία των δεδομένων που χειρίζεται ο ευάλωτος ιστότοπος, αλλά και τις προσπάθειες μετρίασης των αρνητικών συνεπειών.

XSS-Loader: XSS Injection Toolkit

Αφού ξεκινήσει το XSS-Loader με το Python 3, ο χρήστης μπορεί να επιλέξει να δημιουργήσει ένα payload injection XSS με την επιθυμητή ετικέτα HTML όπως div, Img ή body.

Αφού επιλέξει την ετικέτα, ο χρήστης μπορεί να καθορίσει περαιτέρω το payload, επιλέγοντας την απαιτούμενη κωδικοποίηση ή επιλέγοντας τον απαιτούμενο τύπο injection όπως “CLOUDFARE BYPASS PAYLOADS” ή “ALERT PAYLOADS”.

Αυτό θα δημιουργήσει το απαιτούμενο payload.

Η δεύτερη ενότητα είναι το “XSS-Scanner”, το οποίο επιτρέπει στο χρήστη να δημιουργήσει μια διεύθυνση URL που θα εκτελέσει το XSS injection.

Η τρίτη ενότητα αυτού του εργαλείου είναι το “XSS-DORK-FINDER” που επιτρέπει στον χρήστη να χρησιμοποιεί την Google, για να βρει ευάλωτους ιστότοπους.

Χαρακτηριστικά

  • Αυτό το εργαλείο δημιουργεί payload για χρήση XSS injection
  • Επιλέξτε προεπιλεγμένες ετικέτες payload από την παράμετρο ή γράψτε το payload σας
  • Δημιουργεί xss inj. με παράμετρο Xss Scanner
  • Βρίσκει ευάλωτες τοποθεσίες URL με την παράμετρο Xss Dork Finder

Εγκατάσταση

git clone https://github.com/capture0x/XSS-LOADER/
cd XSS-LOADER
pip3 install -r requirements.txt

Χρήση

$ python3 payloader.py

Παραδείγματα

*Basic Payload

*Div Payload

MOVE HERE

*Img Payload

*Body Payload

*Svg Payload

*Enter Your Payload

Κωδικοποιεί το payload του χρήστη

*Payload Generator Parameter

Κωδικοποιεί το payload σε επιλεγμένη ετικέτα
* |   1.  UPPER CASE---->                
* |   2.  UPPER AND LOWER CASE---->    
* |   3.  URL ENCODE ----->   %3Cscript%3Ealert%281%29%3C%2Fscript%3E           
* |   4.  HTML ENTITY ENCODE----->  <script>alert(1)</script> 
* |   5.  SPLIT PAYLOAD ----->  pt>>alert(1)pt>>       
* |   6.  HEX ENCODE ----->  3c7363726970743e616c6572742831293c2f7363726970743e       
* |   7.  UTF-16 ENCODE -----> Encode payload to utf-16 format.   
* |   8.  UTF-32 ENCODE----->  Encode payload to utf-32 format.          
* |   9.  DELETE TAG -----> ";alert('XSS');//            
* |  10.  UNICODE ENCODE----->    %uff1cscript%uff1ealert(1)%uff1c/script%uff1e         
* |  11.  US-ASCII ENCODE ----->  ¼script¾alert(1)¼/script¾      
* |  12.  BASE64 ENCODE ----->   PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==          
* |  13.  UTF-7 ENCODE ----->   +ADw-script+AD4-alert(1)+ADw-/script+AD4-           
* |  14.  PARENTHESIS BYPASS ----->     
* |  15.  UTF-8 ENCODE ----->  %C0%BCscript%C0%BEalert%CA%B91)%C0%BC/script%C0%BE          
* |  16.  TAG BLOCK BREAKOUT-----> ">
* |  17.  SCRIPT BREAKOUT----->  
* |  18.  FILE UPLOAD PAYLOAD-----> ">.gif
* |  19.  INSIDE COMMENTS BYPASS-----> -->
* |  20.  MUTATION PAYLOAD----->

Στιγμιότυπα εφαρμογής

Βίντεο οδηγός

Μπορείτε να κατεβάσετε το πρόγραμμα από εδώ.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.087 εγγεγραμμένους.

XSS scannerXSS-Loader

Written by Anastasis Vasileiadis

Οι μεταφράσεις είναι σαν τις γυναίκες. Όταν είναι ωραίες δεν είναι πιστές και όταν είναι πιστές δεν είναι ωραίες.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).