记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

BurpSuite自动化blind-xss插件:Femida-xss

2019-10-25 12:45

Femida-xss (WIP)

一款BurpSuite插件,用于自动化执行blind-xss盲搜索。它能够执行主动和被动检查。

安装

  1. git clone https://github.com/wish-i-was/femida.git
  2. Burp -> Extender -> Add -> find and select blind-xss.py

使用

首先,在名为“Your URL”的字段中设置回调URL,然后按Enter将其自动保存在config.py文件中。

设置好之后,您需要用OOB-XSS向量填充Payloads表,以便扩展程序能够将您的Payloads注入到传出的请求中。请注意,您需要在Payloads中设置{URL}别名,因此扩展名将能够从“Your url”字段中获取数据并将其直接设置为Payloads。

BurpSuite自动化blind-xss插件:Femida-xss

Femida是随机驱动的扩展,因此在主动或被动扫描期间,将在行“Active”中使用带有“ 1”的每个Payloads。因此,如果要从测试中排除任何Payloads或参数/标头,只需将“Active”值更改为0。

Payloads

  • 使用'上传''添加'按钮将Payloads添加到表中。
  • 不要忘记有效载荷中的{URL}参数。
  • 当您将任何数据添加到表中时,活动行将手动等于1.(现在表示其活动状态)
  • 如果要使其不活动-将活动行设置为0

Headers & Parameters

  • 您可以使用添加按钮或在 Target/Proxy/Repeater 中单击鼠标右键手动添加数据。
  • headers 和 parameters 不区分大小写
  • 如果要使其不活动-将活动行设置为0
知识来源: https://www.uedbox.com/post/59403/

阅读:9176 | 评论:0 | 标签:xss

想收藏或者和大家分享这篇好文章→复制链接地址

“BurpSuite自动化blind-xss插件:Femida-xss”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词