Skip to content

XSSSNIPER - Automatic XSS Discovery Tool



XSSSNIPER adalah memindai URL target untuk parameter GET dan kemudian meng injecksi payload XSS (Y) ke dalamnya dan mengurai respons untuk artefak injeksi(Z).
Contoh paling sederhana adalah menginjeksi< script type = "text / javascript"> window.alert ('XSS') </script> dan memeriksa <script type = "text / javascript"> window.alert (XSSl') </script>, jika kita memiliki kecocokan mungkin kita baru saja menemukan XSS.
Jika tidak ada pemeriksaan yang ditentukan, xssniper akan mempertimbangkan dan memeriksa yang sama.

Jika tidak ada payload yang ditentukan juga file khusus akan diuraikan untuk payload umum (lib/payloads.xml, silakan berkontribusi).

Fitur lain yang bermanfaat adalah kemampuan untuk crawl URL target untuk tautan relatif. Setiap tautan yang ditemukan ditambahkan ke antrian pemindaian dan diproses, sehingga lebih mudah untuk menguji keseluruhan situs web.


Pada akhirnya, metode ini bukanlah bukti yang terkecoh, tetapi heuristik yang baik untuk menemukan titik injeksi secara massal dan menguji strategi. Juga karena tidak ada emulasi browser adalah tugas Anda untuk menguji secara manual injeksi yang ditemukan terhadap berbagai perlindungan xss browser.

Installation XSSSNIPER Tool

Untuk mendapatkan tool ini kalian bisa melakukan cloning pada sebuah repository github berikut

git clone https://github.com/gbrindisi/xsssniper.git




Jika sudah melakukan instalasi kalian bisa masuk ke directory tool tersebut

Running XSSSNIPER Tool

tool ini di tulis menggunakan python dan untuk menjalankannya pun cukup mudah kalian bisa menulis perintah berikut 

python xsssniper.py



Untuk menjalankanya kalian membutuhkan target yang menurut anda vuln terhadap serang xss lalu scan menggunakan xsssniper ini, disini kita bisa memasukkan option" berikut seperti dom,post_data,crawl dll contohnya seperti berikut

python xsssniper.py -u "http://web-vuln.com/search.php?q=xss"



Lihat gambar di atas, kita menemukan web yang vuln terhadap serangan xss dan sekarang kita test untuk memasukkan payload terhadap web tsb


Berikut Option" lainnya untuk melakukan scanning terhadap web yang vuln terhadap xss

Scan satu url dengan GET params:

$ python xsssniper.py -u “http://target.com/index.php?page=test”

Scan satu url dengan params POST:

$ python xsssniper.py -u “http://target.com/index.php” –post –data = POST_DATA

Crawl satu url mencari formulir untuk dipindai:

$ python xsssniper.py -u “http://target.com” –forms

Scan massal seluruh situs web:

$ python xsssniper.py -u “http://target.com” –crawl

Scan massal seluruh formulir situs web termasuk forms:

$ python xsssniper.py -u “http://target.com” –crawl –forms

Analisis Halaman Javascript


$ python xsssniper.py -u “http://target.com” –dom


XSSSNIPER - Automatic XSS Discovery Tool

0 Comments

Post a Comment