BruteXSS:XSS暴力破解神器

最新推荐文章于 2025-06-25 16:31:31 发布
最新推荐文章于 2025-06-25 16:31:31 发布
阅读量2.5k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: # 其他常用工具 【渗透工具】 # 信安文章
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Fly_hps/article/details/80945457
BruteXSS是一款高效快速的XSS漏洞扫描工具,支持GET/POST请求,能够通过暴力注入方式检测网站的安全性。它提供四种不同规模的攻击载荷文件,可根据目标环境选择使用。

BruteXSS简介

BruteXSS是一个非常强大和快速的跨站点脚本暴力注入。它用于暴力注入一个参数。该BruteXSS从指定的词库加载多种有效载荷进行注入并且使用指定的载荷和扫描检查这些参数很容易受到XSS漏洞。得益于非常强大的扫描功能。在执行任务时, BruteXSS是非常准确而且极少误报。 BruteXSS支持POST和GET请求,适应现代Web应用程序。

特点

XSS暴力破解
XSS扫描
支持GET/ POST请求
自定义单词可以包含
人性化的UI

下载与安装

下载地址:https://pan.baidu.com/s/1h3OSQt8EfqciO7ceXTsJ5A

平台要求:Windows 、Linux (需要有Python2.7)

安装前提:

四个攻击载荷

在BruteXSS目录 下,有wordlist.txt,wordlist-samll.txt,wordlist-medium.txt,wordlist-huge.txt 四个攻击载荷

wordlist.txt  ————————约20条常用语句,可以执行一个基本简单的XSS检查

wordlist-samll.txt ——————约100条语句,可以执行一个相对全面的XSS检查

wordlist-medium.txt —————约200条语句,可以执行一个绕过WAF的XSS检查

wordlist-huge.txt ——————  约5000条语句,可以执行一个非常全面的并且绕过WAF的XSS检查

使用小例

以下是运行使用结果截图:


根据所测试的环境的不同,选择不同的wordlist.txt。


《WEB安全渗透测试》(31)BeEF-XSS一款红队XSS神器
午夜安全
09-25 2039
我们知道XSS漏洞分为存储型、反射型、DOM型,最常见的就是利用XSS漏洞弹窗,进一步获取用户Cookie信息。可是如今的WEB系统,有的已经设置HttpOnly属性,有的在请求头中使用Authorization字段提供token令牌,这导致了我们难以获取到用户的身份信息。在这个背景下,XSS漏洞好像越来越没用了。BeEF-XSS是一款非常强大的XSS平台,集成了许多payload,利用它可以极大的提高XSS漏洞的威力。
XSS攻击的解决方法
weixin_33877092的博客
02-28 941
在我上一篇《前端安全之XSS攻击》文中,并没有把XSS攻击的解决办法说完整,而XSS的攻击又那么五花八门,有没有一招“独孤九剑”能够抗衡,毕竟那么多情况场景,开发人员无法一一照顾过来,而今天通过阅读《白帽子讲Web安全》这本书,对应对方式有了更好的总结,分为两类,一是服务端可以干的事,二是客户端可以干的事。 前提 在说XSS解决方式时,有一个前提。就是同源策略——浏览器的同源策略(浏览器安全的...
BruteXSS
captain
02-22 280
1. 下载网址 BruteXSS下载:http://files.cnblogs.com/files/Pitcoft/Brutexss.zip 脚本需要以下条件方可正常执行: Python 2.7 python2.7下载地址:https://www.python.org/ftp/python/2.7.13/python-2.7.13.msi 2. 使用
BruteXSSXSS暴力破解
南迁的博客
11-07 2320
BruteXSSXSS暴力破解 BruteXSS——跨站脚本暴力破解 作者:Shawar Khan BruteXSS项目由Netsparker赞助和支持Web应用程序安全扫描器 免责声明:我不负责任何使用这个工具的非法行为,这个工具只能用于教育目的和渗透测试。 兼容性:Windows、Linux或任何设备运行python 2.7版本 所需模块:
xss漏洞
最新发布
2301_81089672的博客
06-25 261
XSS、CSRF、SSRF、暴力破解
qq_51780583的博客
08-10 1223
XSS、CSRF、SSRF、暴力破解
PIKACHU之XSS破解
qq_53318766的博客
12-20 769
xss跨站脚本漏洞
BruteXSS:简化版XSS漏洞扫描工具的使用与更新
**工具介绍:BruteXSS** BruteXSS是一个用于Web应用程序中自动化检测跨站脚本攻击(XSS)漏洞的工具。它由Shawar Khan最初创建于命令行界面(CLI)中,并由其他人进行了改进,使工具变得更加用户友好。BruteXSS的重...
XSSBypass:XSS绕过技术
05-17
- DOM-Based XSS:不涉及服务器,而是由于网页DOM(文档对象模型)处理不当导致的,攻击者可以通过改变DOM元素来注入恶意脚本。 2. **XSS过滤器与绕过** - Web应用程序通常会使用过滤器来防止XSS攻击,但这些过滤...
BruteXSS:BruteXSS是用python编写的工具,用于在Web应用程序中查找XSS漏洞。 该工具最初是由Shawar Khan在CLI中开发的。 我刚刚对其进行了重新设计,并使其更易于使用。
04-23
BruteXSS是用python编写的工具,用于在Web应用程序中查找XSS漏洞。 该工具最初是由Shawar Khan在CLI中开发的。 我只是重新设计了它,并使其更易于使用。 该工具是使用Python开发的,因此很显然是跨平台的,您只...
xssor2:XSS'OR-用JavaScript破解
02-19
XSS'OR XSS'OR-使用JavaScript进行入侵。 在线的 您可以尝试: 和 它包含三个主要模块:编码/解码,Codz,探针。 安装 具有Django 3.0。*的Python 3或具有Django 1.11。*的Python 2 git clone 或直接下载 cd ...
Brutexss(汉化版)
06-29
这款脚本能自动进行插入XSS,而且可以自定义攻击载荷。 该脚本也同时提供包含了一些绕过各种WAF(Web应用防护系统)的语句。 BruteXSS是一个非常强大和快速的跨站点脚本暴力注入。它用于暴力注入一个参数。该BruteXSS从指定的词库加载多种有效载荷进行注入并且使用指定的载荷和扫描检查这些参数很容易受到XSS漏洞。得益于非常强大的扫描功能。在执行任务时, BruteXSS是非常准确而且极少误报。 BruteXSS支持POST和GET请求,适应现代Web应用程序。
基于pikachu的漏洞学习(一)暴力破解XSSCSRF
网络安全学习
04-06 4245
暴力破解 在测试过程中经常会遇到类似的登录接口 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cusbAy3V-1649206917680)(assets/image-20211126143014206-20220112081102-h317duu.png)] 随便输入一个用户名密码,输入正确的验证码,提示用户名或密码不存在 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rmo8HsT5-1649206917682)(assets/image-
XSS漏洞自动化攻击工具XSSer
weixin_34018169的博客
08-30 1061
2019独角兽企业重金招聘Python工程师标准>>> ...
XSS漏洞---XSS绕过
Ethan024的博客
03-14 398
XSS漏洞(本文仅供技术学习与分享) XSS绕过 程序员在开发的时候会做安全措施,但是有时候逻辑不严谨,或者采取了错误的安全措施,导致其措施起到一部分作用,但是仍然可以被绕过。 主要的5种形式的绕过: 前端限制绕过:直接抓包重放,或者修改HTML前端代码; 大小写绕过:比如 双写绕过 使用注释干扰: 编码绕过: 将下面代码进行base64编码,系统安全措施没做到,就不会将其过滤(编码不能滥用,否则虽然实现了绕过,但是输出的时候无法识别和解码) 编码绕过案例: 例1: 中(11
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器)
热门推荐
weixin_73588491的博客
07-05 1万+
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。
暴力破解&&xss
lihaidexiaotian的博客
12-18 606
pt> alert(111)x'alert('xss')
解密XSS跨站脚本攻击
m_ing
05-31 674
前言:xss又叫css(Cross Site Scripting),即跨站脚本攻击,是最常见的web应用程序安全漏洞之一。 xss是指攻击者在网页脚本中嵌入客户端脚本,通常是JavaScript编写的恶意代码,当用户使用浏览器浏览被嵌入脚本的网页时,恶意代码将会在用户浏览器上执行。所以xss属于客户端攻击,受害者是用户 原理解析 xss攻击是在网页中嵌入客户端恶意脚本代码,这些代码通常时JavaScript编写。JavaScript能做到什么效果,xss威力就有多大。 我们看下面一个例子。很简单,在inde
xss扫描工具
04-02
### 高效的XSS漏洞扫描工具 在网络安全领域,跨站脚本攻击(Cross-Site Scripting, XSS)是一种常见的威胁。为了应对这种风险,可以采用多种专门设计的工具来检测和防范此类漏洞。 #### 工具一:Toxssin `Toxssin` 是一款开源渗透测试工具,专注于自动化的 XSS 漏洞利用流程[^2]。其核心功能包括通过 HTTPS 服务器解析恶意 JavaScript 脚本的有效载荷生成流量。此工具适合具备一定技术背景的安全研究人员使用,并能显著提升效率。 #### 工具二:Traxss 作为另一款针对 XSS 的自动化扫描器,`Traxss` 提供了细致入微的功能集合以发现潜在的安全隐患[^3]。它的优势在于能够深入挖掘复杂的 Web 应用程序逻辑中的隐藏缺陷,从而帮助开发者构建更加健壮的应用环境。 #### 综合类工具推荐 除了上述两款专注型产品外,在更广泛的范围内还有许多综合性较强的解决方案可供选择,比如 Burp Suite 和 Nikto 等知名软件包也支持部分形式下的 XSS 测试能力[^4]。这些多功能平台不仅限于单一类型的弱点查找,而是覆盖整个 OWASP Top 10 列表以及其他重要方面的评估需求。 以下是 Python 实现的一个简单示例代码片段展示如何调用外部命令行接口来进行基本操作: ```python import subprocess def run_xss_scanner(target_url): try: result = subprocess.run(['traxss', target_url], capture_output=True, text=True) print(result.stdout) except Exception as e: print(f"Error occurred while running the scanner: {e}") if __name__ == "__main__": url_to_scan = input("Enter URL to scan for XSS vulnerabilities:") run_xss_scanner(url_to_scan) ``` 以上脚本仅作演示用途,请确保实际部署前完成充分验证并遵循合法合规原则!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值