June 23, 2020

XSStrike - мини-обзор

Привет дорогой %username%! Сегодня мы поговорим про XSStrike.

XSStrike - это пакет обнаружения межсайтовых сценариев, оснащенный четырьмя рукописными синтаксическими анализаторами, интеллектуальным генератором полезной нагрузки, мощным механизмом фаззинга и невероятно быстрым сканером.

Вместо того, чтобы вводить полезные данные и проверять их работу, как все остальные инструменты, XSStrike анализирует ответ с помощью нескольких анализаторов и затем обрабатывает полезные нагрузки, которые гарантированно будут работать с помощью контекстного анализа, интегрированного с механизмом фаззинга. Вот несколько примеров полезных нагрузок, сгенерированных XSStrike:

}]};(confirm)()//\
<A%0aONMouseOvER%0d=%0d[8].find(confirm)>z
</tiTlE/><a%0donpOintErentER%0d=%0d(prompt)``>z
</SCRiPT/><DETAILs/+/onpoINTERenTEr%0a=%0aa=prompt,a()//

Основные характеристики

  • Отраженное и DOM XSS сканирование
  • Многопоточный обход
  • Контекстный анализ
  • Настраиваемое ядро
  • WAF обнаружение и уклонение
  • Устаревшее сканирование JS-библиотек
  • Интеллектуальный генератор полезной нагрузки
  • Парсер HTML & JavaScript ручной работы
  • Мощный нечеткий двигатель
  • Слепая поддержка XSS
  • Высоко проработанный рабочий процесс
  • Полная поддержка HTTP
  • Полезные нагрузки Bruteforce из файла
  • Работает на Фотон, Зетанизировать и Арджун
  • Кодировка полезной нагрузки

Со всеми предложениями и идеями для статей пишите нашему боту @undermbot

Также вы можете присылать ваши статьи в бота (оформляйте в телеграфе), я их просмотрю, если всё ОК - опубликую статью на канале с указанием автора.