XSS o Cross-Site Scripting es la falla de seguridad más emergente en las aplicaciones web. Cuando la aplicación web ejecuta el JavaScript arbitrario o malicioso, se dice que es un sitio web vulnerable XSS. Hay varios Escáneres XSS a través de los cuales podemos detectar el XSS en el dominio de destino. XSS-Freak es un escáner XSS desarrollado en lenguaje Python. La herramienta XSS-Freak es una herramienta de código abierto y de uso gratuito que también está disponible en GitHub. La herramienta XSS-Freak rastrea el dominio de destino en busca de todos los enlaces y directorios posibles para aumentar las posibilidades de ataque.
Nota : asegúrese de tener Python instalado en su sistema, ya que esta es una herramienta basada en Python. Haga clic para verificar el proceso de instalación: pasos de instalación de Python en Linux
¿Cómo funciona XSS-Freak?
Una vez que el script se ejecuta a través de Python Interpreter, el usuario debe especificar la lista de cargas útiles XSS que se probarán en el dominio de destino. La herramienta XSS-Freak luego rastrea los directorios y enlaces y analiza los parámetros desde los cuales se pueden insertar las cargas útiles y se puede realizar el proceso de prueba. Luego, la herramienta XSS-Freak agrega todas las ENTRADAS HTML encontradas a su alcance de ataque, luego la herramienta XSS-Freak lanza un ATAQUE en todas las ENTRADAS HTML con las cargas útiles XSS que el usuario proporcionó de la lista. si la ENTRADA HTML NO SE DESINFECTA APROPIADAMENTE y se filtra, la secuencia de comandos la detectará instantáneamente e imprimirá el parámetro vulnerable.
ventajas:
- La herramienta XSS-Freak tiene soporte para subprocesos múltiples para una mayor eficiencia y un procesamiento de rendimiento más rápido.
- XSS-Freak tiene la capacidad de rastreo en sitios web completos.
- La herramienta XSS-Freak es versátil.
Desventajas:
- No es compatible con los teléfonos.
- Requiere una conexión a Internet de alta velocidad
- Requiere hardware avanzado
Instalación de XSS-Freak Tool en Kali Linux OS
Paso 1: use el siguiente comando para instalar la herramienta en su sistema operativo Kali Linux.
git clone https://github.com/AssetX/XSS-Freak.git
Paso 2 : ahora use el siguiente comando para moverse al directorio de la herramienta. Tienes que moverte en el directorio para ejecutar la herramienta.
cd XSS-Freak
Paso 3 : Estás en el directorio de XSS-Freak. Ahora debe instalar una dependencia de XSS-Freak usando el siguiente comando.
sudo pip3 install -r requirements.txt
Paso 4 : todas las dependencias se han instalado en su sistema operativo Kali Linux. Ahora use el siguiente comando para ejecutar la herramienta y verifique la sección de ayuda.
python3 XSS-Freak.py -h
Trabajando con XSS-Freak Tool en Kali Linux OS
Ejemplo 1 : Probaremos el dominio de destino http://geeksforgeeks.org
En este ejemplo, probaremos el dominio geeksforgeeks.org. Especificaremos la lista de XSS que consta de Payloads.
Como geeksforgeeks.org es un sitio web seguro, la herramienta no ha detectado ningún parámetro vulnerable.
Ejemplo 2 : Probaremos el dominio de destino http://testphp.vulnweb.com
En este ejemplo, escanearemos el dominio testphp.vulnweb.com.
Tenemos un parámetro o entrada vulnerable a través del cual podemos insertar la carga útil.
Publicación traducida automáticamente
Artículo escrito por gauravgandal y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA