La vulnerabilidad XSS es la falla de seguridad más fácil que se detecta en los dominios de destino, solo se debe seleccionar una ruta desde la cual la carga maliciosa viajará al servidor. Podemos realizar este escaneo de XSS a través de herramientas automatizadas. La herramienta XanXSS es un script automatizado desarrollado en el lenguaje Python que busca Reflected XSS en el dominio de destino mediante la inserción de cargas maliciosas en los parámetros. En la herramienta XanXSS, cada carga útil que se ejecutará en el servidor es única entre sí. Aunque también podemos especificar nuestro propio archivo de carga útil con cargas útiles adicionales. La herramienta XanXSS admite secuencias de comandos políglotas para crear más secuencias de comandos maliciosas. La herramienta XanXSS también admite funciones de cambio de encabezado y proxy. La herramienta XanXSS está disponible en GitHub, es gratuita y de código abierto.
Nota : asegúrese de tener Python instalado en su sistema, ya que esta es una herramienta basada en Python. Haga clic para verificar el proceso de instalación: pasos de instalación de Python en Linux
Instalación de la herramienta XanXSS en el sistema operativo Kali Linux
Paso 1 : use el siguiente comando para instalar la herramienta en su sistema operativo Kali Linux.
git clone https://github.com/Ekultek/XanXSS.git
Paso 2 : ahora use el siguiente comando para moverse al directorio de la herramienta. Tienes que moverte en el directorio para ejecutar la herramienta.
cd XanXSS
Paso 3: Estás en el directorio del XanXSS. Ahora debe instalar una dependencia de XanXSS usando el siguiente comando.
sudo pip3 install -r requirements.txt
Paso 4: Todas las dependencias se han instalado en su sistema operativo Kali Linux. Ahora use el siguiente comando para ejecutar la herramienta y verifique la sección de ayuda.
python3 xanxss.py -h
Trabajar con la herramienta XanXSS en el sistema operativo Kali Linux
Ejemplo 1: Pase una URL para probar vulnerabilidades XSS
python3 xanxss.py -u “http://testphp.vulnweb.com/search.php?test=” -a 12 -t 12 -f 25 -v
Las cargas útiles de trabajo se muestran en la siguiente captura de pantalla. Estas cargas útiles pueden ejecutarse en el dominio de destino.
Ejemplo 2: Pasar un archivo de texto que contiene payloads uno por línea
python3 xanxss.py -u “http://testphp.vulnweb.com/search.php?test=” -P -v
Se generan políglotas, lo que hace que la carga útil sea más maliciosa. Hemos usado la etiqueta -P para Polyglot.
Publicación traducida automáticamente
Artículo escrito por gauravgandal y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA