Aujourd’hui, présentation d’un outil sympa, XSStrike, une suite de détection XSS avancée, qui contient un puissant fuzzer XSS et ne fournit aucun faux positif (ça c’est cool) en utilisant la correspondance floue.
XSStrike est le premier scanner XSS à générer ses propres charges utiles.
Il est aussi construit de manière suffisamment intelligente pour détecter et sortir des différents contextes.
Dans les caractéristiques principales, on retrouve
- Moteur puissant de floutage
- Technologie de rupture du contexte
- Génération intelligente de charges utiles
- Support des méthodes GET & POST
- Support des cookies
- WAF Empreintes digitales
- Charges utiles faites à la main pour le filtre et l’évasion WAF
- Découverte de paramètres cachés
- Résultats précis grâce à l’algorithme de distance de levenshtein
C’est par ici que ça se passe pour l’essayer : https://github.com/UltimateHackers/XSStrike
