Ищем XSS уязвимости с помощью termux
Termux - one ❤️
Прошу обратить внимание! Автор данной статьи не несёт ответственности за любые последствия вслед использования предоставленной информации. Все материалы опубликованы исключительно в образовательных целях!
XSS (межсайтовый скриптинг) – одна из разновидностей атак на веб-системы, которая подразумевает внедрение вредоносного кода на определенную страницу сайта и взаимодействие этого кода с удаленным сервером злоумышленников при открытии страницы пользователем.
XIRA - сканер уязвимости xss.
Установка:
pkg update pkg upgrade pkg install git pkg install python git clone https://github.com/xadhrit/xira.git cd xira python -m pip install -r requirements.txt
После длительной установки, мы можем запускать скрипт, указав URL атакуемого сайта, через ключ u:
python xira.py -u <url>

Для примера был взят сайт guthub.com, и как вы видите, уязвимостей XSS не обнаружено.
Также автор утверждает что данный скрипт можно использовать в целях совершения полезных нагрузок, я не проверял, но думаю вам будет интересно.
Шаблон полезных нагрузок:
Template.json будет наш новый файл payload.json для использования в нашем XSS сканирования. Измените имя и сделайте копию перед payload.json из репозитория скрипта и template.json.
{
"payload": [
{
"payload_name": " <h2>Basic injects</h2> "
}
]
}
#!/bin/bash
filename='XSS-Jhaddix.txt'
n=1
while read line; do
# reading each line
jq --arg value "$line" '.payload|=.+[{ "payload_name" : $value }]' payload_template.json >tmp.json
mv tmp.json payload_template.json
echo "Line No. $n : $line"
n=$((n+1))
done < $filename
Сами же полезные нагрузки(библиотеку) вы можете скачать:
clone the repo : git clone https://github.com/xadhrit/xss-hacker.git
Ну а на этом все, спасибо за внимание, жду ваших идей-просьб по темами статей.
