Menemukan Kerentanan XSS menggunakan XssPy
Kali ini saya akan menulis cara menemukan celah XSS dengan mudah menggunakan scanner bernama XssPy. Tools ini ditulis menggunakan bahasa Python dan dibuat oleh Faizan Ahmad. Dan tentu saja tools ini akan sangat membantu kalian untuk melakukan audit website sehingga situs kalian lebih aman.
Cara instalasi nya cukup mudah:
git clone https://github.com/faizann24/XssPy.git
cd XssPy
sudo pip install mechanize
python XssPy.py situs.com
Saat penulisan url jangan menggunakan http:// ataupun www.
Dan biarkan tools ini melakukan scanning. Cara kerjanya adalah merayapi seluruh url dan juga subdomain dari situs yang kita scan.
Tool ini menyediakan scanning dengan metode berikut:
- Short Scanning
- Comprehensive Scanning
- Finding subdomains
- Checking every input on every page
Jika bug ditemukan, maka akan ada notifikasi di terminal.
Nah berikut beberapa payload yang bisa kalian coba saat XSS ditemukan.
Author tools ini juga mengklaim telah menemukan celah XSS di situs situs besar seperti MIT, Stanford, Duke University, Informatica, Formassembly, ActiveCompaign, Volcanicpixels, Oxford, Motorola, Berkeley. Hebat bukan ?
Sekian artikel kali ini, jangan lupa share biar banyak yang tau.