XSStrike Advanced XSS Detection Suite
XSStrike Advanced XSS Detection Suite

XSStrike: Suite de Detección Avanzada de XSS

XSStrike es una suite de detección de Cross Site Scripting equipada con cuatro analizadores escritos a mano, un generador de carga útil inteligente, un potente motor de fuzzing y un rastreador increíblemente rápido.

En lugar de inyectar cargas útiles y comprobar que funcionan, como hacen las demás herramientas, XSStrike analiza la respuesta con múltiples analizadores sintácticos y, a continuación, crea cargas útiles cuyo funcionamiento está garantizado por el análisis de contexto integrado con un motor de fuzzing. Estos son algunos ejemplos de las cargas útiles generadas por XSStrike:

}]};(confirm)()//\
<A%0aONMouseOvER%0d=%0d[8].find(confirm)>z
</tiTlE/><a%0donpOintErentER%0d=%0d(prompt)``>z
</SCRiPT/><DETAILs/+/onpoINTERenTEr%0a=%0aa=prompt,a()//

Aparte de eso, XSStrike tiene capacidades de rastreo, fuzzing, descubrimiento de parámetros y detección de WAF. También escanea las vulnerabilidades DOM XSS.

Demo XSStrike
Demo XSStrike

Características Principales

  • Escaneo XSS reflejado y DOM
  • Rastreo multihilo
  • Análisis de contexto
  • Núcleo configurable
  • Detección y evasión de WAF
  • Escaneo de librerías JS obsoletas
  • Generador inteligente de cargas útiles
  • Analizador de HTML y JavaScript hecho a mano
  • Potente motor de fuzzing
  • Soporte de XSS ciego
  • Flujo de trabajo altamente investigado
  • Soporte completo de HTTP
  • Carga útil de fuerza bruta desde un archivo
  • Desarrollado por PhotonZetanize y Arjun
  • Codificación de la carga útil

Documentación

FAQ

Galería

DOM XSS

Screenshot DOM XSS
Screenshot DOM XSS

Reflected XSS

Screenshot Reflected XSS
Screenshot Reflected XSS

Crawling

Screenshot Crawling
Screenshot Crawling

Fuzzing

Screenshot Fuzzing
Screenshot Fuzzing

Cargas útiles de fuerza bruta de un archivo

Bruteforcing payloads XSStrike
Bruteforcing payloads XSStrike

Encabezado interactivo de HTTP

Screenshot Interactive HTTP Headers
Screenshot Interactive HTTP Headers

Descubrimiento de parámetros ocultos

Hidden Parameter Discovery
Hidden Parameter Discovery

Contribución, Créditos y Licencia

  • Formas de contribuir
  • Sugerir una función
  • Informar de un error
  • Corregir algo y abrir un pull request
  • Crear una extensión para el navegador
  • Crear un plugin de burp suite/zaproxy
  • Ayúdame a documentar el código
  • Corre la voz

Licensed under the GNU GPLv3, see LICENSE for more information.

Las firmas WAF en /db/wafSignatures.json son tomadas y modificadas desde sqlmap. Se ha extraído de los módulos de detección de waf de sqlmap que se pueden encontrar aquí y se ha convertido a JSON.

/plugins/retireJS.py es una versión modificada de retirejslib.

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda