Tank · Code Alliance Developers
Termux Arsenalby Tank · Code Alliance
arsenal
XSStrike — ilustração
Web

XSStrike

Ferramenta avançada que detecta, gera payloads sob medida e tenta contornar WAFs para encontrar falhas de Cross-Site Scripting.

Diferente de scanners genéricos, o XSStrike analisa o contexto do parâmetro (HTML, JS, atributo) e monta o payload ideal. Excelente em CTFs e bug bounty.

repositório oficial ↗

Antes de instalar

Atualize os repositórios e libere o armazenamento do Termux:

$ pkg update && pkg upgrade -y
$ termux-setup-storage

Instalação

$ pkg install python git -y
$ git clone https://github.com/s0md3v/XSStrike
$ cd XSStrike && pip install -r requirements.txt

Exemplo de uso

$ python xsstrike.py -u 'https://alvo.com/?q=test'

Passo a passo

  1. 1

    Clone.

    $ git clone https://github.com/s0md3v/XSStrike && cd XSStrike
  2. 2

    Instale dependências.

    $ pip install -r requirements.txt
  3. 3

    Teste um parâmetro.

    $ python xsstrike.py -u 'https://alvo.com/?q=test'

Prática segura · XSStrike

→ guia do lab

Suba o alvo em Docker/VM antes de apontar XSStrike. Nunca rode contra IP/domínio que não seja seu ou autorizado.

alvo sugerido · DVWA local (docker), Juice Shop, testphp.vulnweb.com ou PortSwigger Academy

Nunca aponte para alvo em produção. Se estiver no celular, use proot-distro + Debian para não sujar o Termux principal.

Relacionadas