xsser工具使用教程

Xsser

• 命令行 / 图形化 工具

• 绕过服务器端输入筛选

• 10进制 / 16进制

• unescape()

xsser -u "http://1.1.1.1/dvwa/vulnerabilities/" -g "xss_r/?name=" --cookie="XXXXXX" -s -v --reverse-check
1

–heurisitic 检查被过滤的字符

对payload编码，绕过服务器筛选过滤

• –Srt 字符串编码

• –Une 使用Unescape()编码

• –Mix 上述两个一起用

• –Dec 十进制编码

• –Hex 十六进制编码

• –Hes

• –Dwo

• –Doo --对ip地址编码

• –Cem=CEM 进行多种编码

注入技术（多选）

• –Coo 向cookie注入

• –Xsa 向agent进行注入

• –Xsr 对http头referer进行注入

• –Dcp 对数据控制协议注入

• –Dom 对DOM进行注入

• –lnd 对http响应发现注入点

• –Anchor 使用anchor状态注入

• –Phpids 基于PHP的框架0.6.5的注入

• –Doss 拒绝服务注入

• –Dos 对客户端拒绝服务注入

• –B64 base64编码

• –Onm 移动鼠标进行执行

• –Ifr 插入框架