DEV Community

Easy_Li
Easy_Li

Posted on

XssFleet:一款专业的 XSS 自动化渗透测试工具

#xss #cybersecurity #python #security

一句话总结: XssFleet 是一款刚上线的专业 XSS 漏洞自动化渗透测试工具,Python 开发,MIT 协议,支持检测、验证、利用全流程,主打 WAF 绕过和浏览器自动化验证。

核心能力

  • 多种 XSS 类型全覆盖:反射型、存储型、DOM-based、Blind XSS、SVG XSS、JSONP XSS、AngularJS XSS
  • WAF 绕过:space2comment、Base64、HTML 实体、Unicode、URL 编码等多种混淆技术
  • 浏览器自动化验证:Selenium 真实浏览器环境验证,减少误报
  • 完整利用框架:Cookie 窃取、会话劫持、键盘记录、页面篡改、重定向 + ngrok 隧道一键上线
  • 报告导出:JSON / HTML 格式,包含漏洞详情和修复建议

快速上手 

# 扫描单个 URL
python xssfleet/xssfleet.py -u "http://target.com/search?q=test"

# 深度扫描 + 浏览器验证
python xssfleet/xssfleet.py -u "http://target.com/page" --deep --verify

# WAF 绕过扫描
python xssfleet/xssfleet.py -u "http://target.com" --tamper=space2comment,base64encode

# 开启利用模式
python xssfleet/xssfleet.py --exploit
Enter fullscreen mode Exit fullscreen mode

为什么选 XssFleet?

维度 XssFleet 传统扫描器
XSS 类型覆盖 8 种 通常 3-4 种
WAF 绕过 内置 5 种 需手动配置
浏览器验证 ✅ Selenium 自动化
利用模块 Cookie/会话/键盘记录等开箱即用
报告 JSON + HTML 可视化 通常仅文本

适用场景

  • 安全研究员对 Web 应用进行授权渗透测试
  • 企业内部安全部门做自动化漏洞巡检
  • CTF / 渗透测试学习练习

⚠️ 本工具仅限授权安全测试使用,请遵守当地法律法规。

Top comments (0)