关于Xsser的学习笔记

Xsser是一个可命令行也可图形化的工具，集成了大量绕过服务器过滤机制的方法。下面就直接上命令了~

基本命令用法：

以DVWA的Xss反射型漏洞为例：

xsser -u "http://10.10.10.137/dvwa/vulnerabilities/" -g "xss_r/?name=" --cookie="security=low; PHPSESSID=eebf20b02ae571c422cf8cd3ec3ac81e" -s -v --reverse-check

-u：URL地址（主要部分，前面）

-g/-p：GET或者POST方法（后面写url后半部分的内容）

--cookie：若当前需要身份认证才能访问的需要用到该参数

-s：提交请求的数量的统计

-v：显示详细信息

--reverse-check：基于反向连接是否被建立来检测是否存在漏洞，更准确

结果中可看到弹出以下页面，即说明反向连接成功：



另外在结果中可看到反向连接的结果：

其他的一些参数：

--heuristic  检查被过滤的字符

--gtk：图形化界面

--Doss：对服务器进行xss拒绝服务攻击

--Dos：对客户端进行xss拒绝服务攻击

--B64：进行Base64编码

--Onm：使用inMouseMove()事件来注入

--Ifr：第一个字母为大写的i，使用