Khai thác lỗ hổng XSS tự động bằng XSS-Freak

Lỗ hổng XSS là gì?

Cross-site Scripting cho phép tin tặc chạy các lệnh JavaScript độc hại trong trình duyệt của nạn nhân. Có thể chiếm quyền phiên người dùng. Chuyển hướng người dùng đến các trang web không mấy thân thiện. Phát tán phần mềm độc hại, tạo request sai. Lấy thông tin người dùng và dữ liệu nhạy cảm như: thông tin đăng nhập, mật khẩu, thẻ tín dụng, ảnh nude,…..

Công cụ XSS-Freak là gì?

XSS-Freak là một công cụ được viết bằng Python3 để thực hiện việc quét lỗ hổng XSS trên mạng. Công cụ này quét XSS nhằm thu thập dữ liệu toàn bộ trang web. Quét tất cả các thư mục, liên kết có thể để mở rộng phạm vi tấn công của nó. Sau đó. Nó kích hoạt tính năng tìm kiếm để lấy thông tin về các thẻ input. Tiếp theo, nó sẽ bắt đầu gửi request có kèm XSS. Nếu trang web có đầu vào (input) dễ bị khai thác. Không an toàn trước các cuộc tấn công XSS, XSS-Freak sẽ phát hiện nó trong vòng vài giây.

XSS-Freak hoạt động như thế nào?

Để thực hiện một cuộc tấn công, cần phải có mục tiêu (web victim) và một danh sách chứa các payloads XSS khác nhau. Bây giờ, công cụ sẽ bắt đầu quét các trang web chính bao gồm các trang được lập chỉ mục để tìm các thư mục và liên kết có thể có trong trang web. Sau đó, nó sẽ quét tất cả các thư mục được tìm thấy trong lần quét ban đầu và đưa chúng vào phạm vi tấn công. Hơn nữa, nó sẽ quét tất cả các liên kết được tìm thấy trong cả 2 lần quét.

Cài đặt XSS-Freak

Các bạn chạy các lệnh sau:

git clone https://github.com/hacker900123/XSS-Freak
cd XSS-Freak/
pip3 install -r requirements.txt
python3 XSS-Freak.py

Trả lời

Email của bạn sẽ không được hiển thị công khai.