XSpear – 强大的 XSS 扫描和参数分析工具

XSpear是一个强大的XSS扫描和参数分析工具。它旨在发现网站中潜在的XSS漏洞，并且能够识别各种类型的参数，如表单，Cookie，请求标头等。

主要功能

• 强大的XSS扫描引擎
• 识别多种参数类型
• 可定制的扫描选项和规则
• 自动化攻击生成和参数化框架
• 提供完整的HTML和HTTP请求/响应观察器

安装

XSpear是一个Python脚本，可以从Github获取源代码：

git clone https://github.com/hahwul/XSpear.git

安装依赖：

pip3 install -r requirements.txt

使用

使用XSpear的最基本命令：

python3 XSpear.py -u "http://example.com"

这将使用默认配置扫描给定的URL，XSpear将通过GET和POST方法注入XSS攻击载荷。

如果需要深度扫描，可以将--crawl选项添加到命令中：

python3 XSpear.py -u "http://example.com" --crawl 2

这将使用默认配置查找在URL下的任何链接和参数，将自动注入XSS攻击载荷。

定制选项

XSpear支持许多选项和定制规则，可以使用--help标志查看说明文档：

python3 XSpear.py --help

选项包括设置代理服务器，指定payload文件，排除参数等。

扫描结果

XSpear将扫描结果分类为CRITICAL，HIGH，MEDIUM，LOW，INFORMATIVE和DEBUG，以便您可以快速了解哪些漏洞需要立即解决。

XSpear将显示XSS攻击载荷的响应并识别受影响的参数类型。 XSS攻击载荷也将记录在HTML文件中，供重现漏洞。

支持的平台

XSpear在Linux和Mac OS上进行了基本测试，并可通过Python运行在其他平台上。

结束语

XSpear是一个强大的XSS扫描和参数分析工具，具有灵活的选项和规则功能。如果你正在寻找一个挖掘XSS漏洞的工具，它会是一个不错的选择。