Home

Awesome

<div align="center" > <img src="https://user-images.githubusercontent.com/26270009/165508782-4783f9c2-bb55-405f-ab83-e9c30f82072e.png" alt="Hyuga" /> </div>

xssfinder 是什么?

基于 chrome headless 的 XSS 漏洞发现工具。

它的主要特性有:

安装

go install github.com/Buzz2d0/xssfinder/cmd/xssfinder@latest

前往 releases 下载合适的版本然后从命令行运行即可。

用法

$ ./xssfinder

NAME:
   xssfinder - XSS discovery tool

USAGE:
   xssfinder [global options] command [command options] [arguments...]

VERSION:
   v0.1.0

COMMANDS:
   mitm     Passive agent scanning
   help, h  Shows a list of commands or help for one command

GLOBAL OPTIONS:
   --debug, -d             enable debug mode (default: false)
   --verbose, --vv         enable very-verbose mode (default: false)
   --notifier-yaml value   set notifier yaml configuration file
   --outjson               set logger output json format (default: false)
   --exec value, -e value  set browser exec path
   --noheadless            disable browser headless mode (default: false)
   --incognito             enable browser incognito mode (default: false)
   --proxy value           set proxy and all traffic will be routed from the proxy server through
   --help, -h              show help (default: false)
   --version, -v           print the version (default: false)

使用示例:

# 启动被动扫描(中间人)模式,默认监听  127.0.0.1:8222
# 下载并信任证书 http://xssfinder.ca
./xssfinder mitm

notifier.yaml 模版:

dingbot:
  token: xxx
  secret: xxxx
# --notifier-yaml 指定通知机器人配置
./xssfinder --notifier-yaml notifier.yaml mitm

<img src="./docs/dingbot-demo.png" alt="Hyuga" width="150"/>

Bypass headless detect

规划

Thx