- 17 Eyl 2023
- 1,349
- 624
TeşekürlerGüzel olmuş eline sağlık
TeşekürlerEline sağlık hocam toolu gerektiği zaman kulanacağım
Eleştirin için teşekür ederimNeden böyle bir toola ihtiyaç var, çok sağlıklı çalışcağınıda sanmıyorum response daki alert a bakıyor
Hocam başlangıç için güzel bir uygulama ancak escape karakterlerini içeren bir payload listesi üzerinden(dahili olmalı kullanıcı wordlist gibi seçmeyecek) payloadlari teker teker deneyerek açık testini yapabilir ayrıca kullanıcıdan bir site listesi alıp orada linklerin sonuna FUZZ programındaki gibi bir belirteç konulursa ve o konulan belirteci değiştirip o belirteç yerine xss payloadlarını denerse daha iyi olabilir ayrıca bu program şuanda ctrl u yapıldığında sayfa kaynağına eklenmiş olan xss payloadlarını tespit edecektir, sayfa kaynağına eklenmeyen xss ler için de başka yöntemlerin kullanılması daha mantıklı olabilir. Bunların dışında bence bahsettiğim site listesi olayı için argüman olarak yani --site-list seklinde site listesini alması gibi özellikler eklenebilir ve en son aşamada tkinter yardımı ile bir arayüz tasarlanıp bahsettiğim argüman sistemindeki gibi --gui seklinde çalıştırabilir. Bir de bazı siteler user agent olmaması durumunda bunu tehlike olarak algılıyor ve siteye girmeye izin vermiyor bunun için bir user agent listesi hazırlanıp (100-150 tane) her istekte bunların arasından rastgele bir tanesi seçilerek istek atılabilir . Bence daha gelişmiş ve daha özenli bir program için bu dediklerimi değerlendirebilirsiniz. İyi forumlar.Merhaba THT Ailesi, Bugün sizlere kendi yaptığım XSS Zafiyeti Tespit Tool'umu tanıtacağım
Kurulum
İlk Önce Tool'u indiriyoruz
Sonra kurulu olduğu klasöre gidiyoruz
Sonrapython xssfinder.py
diyip tool'u çalıştırıyoruz
Sadece Url'de Çalışır.
Eleştirin için teşekür ederim, dediğiniz şeyleri yapmaya çalışacağımHocam başlangıç için güzel bir uygulama ancak escape karakterlerini içeren bir payload listesi üzerinden(dahili olmalı kullanıcı wordlist gibi seçmeyecek) payloadlari teker teker deneyerek açık testini yapabilir ayrıca kullanıcıdan bir site listesi alıp orada linklerin sonuna FUZZ programındaki gibi bir belirteç konulursa ve o konulan belirteci değiştirip o belirteç yerine xss payloadlarını denerse daha iyi olabilir ayrıca bu program şuanda ctrl u yapıldığında sayfa kaynağına eklenmiş olan xss payloadlarını tespit edecektir, sayfa kaynağına eklenmeyen xss ler için de başka yöntemlerin kullanılması daha mantıklı olabilir. Bunların dışında bence bahsettiğim site listesi olayı için argüman olarak yani --site-list seklinde site listesini alması gibi özellikler eklenebilir ve en son aşamada tkinter yardımı ile bir arayüz tasarlanıp bahsettiğim argüman sistemindeki gibi --gui seklinde çalıştırabilir. Bir de bazı siteler user agent olmaması durumunda bunu tehlike olarak algılıyor ve siteye girmeye izin vermiyor bunun için bir user agent listesi hazırlanıp (100-150 tane) her istekte bunların arasından rastgele bir tanesi seçilerek istek atılabilir . Bence daha gelişmiş ve daha özenli bir program için bu dediklerimi değerlendirebilirsiniz. İyi forumlar.
Eleştirin için teşekür ederim, dediğiniz şeyleri yapmaya çalışacağımProgram güzel lakin çok eksiği var öncelikle hata ayıklama yapılmamış,thread yapısı yok, kullanıcının işini kolaylaştıracak nitelikleri bulunmamaktadır misal payloadları uzak bir sunucudan veyahut bilgisayarda bulunan bir metin belgesinden alabilmesi kullanıcıların işini kolaylaştıracaktır öte yandan sadece alert aratılması çok mantıklı değildir belki payload da mouseover kullanılmış olabilir veya sitenin script tagları arasında alert bulunabilir ve son olarak User-agent eklenip kodları bloglara bölüp OPP standartlarında yazarsanız geliştirilmesi ve hata ayıklanması kolay olacaktır
eline sağlıkMerhaba THT Ailesi, Bugün sizlere kendi yaptığım XSS Zafiyeti Tespit Tool'umu tanıtacağım
Kurulum
İlk Önce Tool'u indiriyoruz
Sonra kurulu olduğu klasöre gidiyoruz
Sonrapython xssfinder.py
diyip tool'u çalıştırıyoruz
Sadece Url'de Çalışır.
Teşekkür ederimeline sağlık
Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.