XSSSNIPER - Automatic XSS Discovery Tool

XSSSNIPER adalah memindai URL target untuk parameter GET dan kemudian meng injecksi payload XSS (Y) ke dalamnya dan mengurai respons untuk artefak injeksi(Z).
Contoh paling sederhana adalah menginjeksi< script type = "text / javascript"> window.alert ('XSS') </script> dan memeriksa <script type = "text / javascript"> window.alert (XSSl') </script>, jika kita memiliki kecocokan mungkin kita baru saja menemukan XSS.
Jika tidak ada pemeriksaan yang ditentukan, xssniper akan mempertimbangkan dan memeriksa yang sama.

Jika tidak ada payload yang ditentukan juga file khusus akan diuraikan untuk payload umum (lib/payloads.xml, silakan berkontribusi).

Fitur lain yang bermanfaat adalah kemampuan untuk crawl URL target untuk tautan relatif. Setiap tautan yang ditemukan ditambahkan ke antrian pemindaian dan diproses, sehingga lebih mudah untuk menguji keseluruhan situs web.

Pada akhirnya, metode ini bukanlah bukti yang terkecoh, tetapi heuristik yang baik untuk menemukan titik injeksi secara massal dan menguji strategi. Juga karena tidak ada emulasi browser adalah tugas Anda untuk menguji secara manual injeksi yang ditemukan terhadap berbagai perlindungan xss browser.

Installation XSSSNIPER Tool

Untuk mendapatkan tool ini kalian bisa melakukan cloning pada sebuah repository github berikut

git clone https://github.com/gbrindisi/xsssniper.git

Jika sudah melakukan instalasi kalian bisa masuk ke directory tool tersebut

Running XSSSNIPER Tool

tool ini di tulis menggunakan python dan untuk menjalankannya pun cukup mudah kalian bisa menulis perintah berikut

python xsssniper.py

Untuk menjalankanya kalian membutuhkan target yang menurut anda vuln terhadap serang xss lalu scan menggunakan xsssniper ini, disini kita bisa memasukkan option" berikut seperti dom,post_data,crawl dll contohnya seperti berikut