Kali ini saya akan menulis cara menemukan celah XSS dengan mudah menggunakan scanner bernama XssPy. Tools ini ditulis menggunakan bahasa Python dan dibuat oleh Faizan Ahmad. Dan tentu saja tools ini akan sangat membantu kalian untuk melakukan audit website sehingga situs kalian lebih aman.
Cara instalasi nya cukup mudah .
git clone https://github.com/faizann24/XssPy.git
cd XssPy
sudo pip install mechanize
python XssPy.py situs.com
Saat penulisan url jangan menggunakan http:// ataupun www. Dan biarkan tools ini melakukan scanning . Cara kerjanya adalah merayapi seluruh url dan juga subdomain dari situs yang kita scan.
Kurang lebih alurnya seperti ini :
Short Scanning
Comprehensive Scanning
Finding subdomains
Checking every input on every page
Jika bug ditemukan, maka akan ada notifikasi di terminal.
source fsecurify.com
Nah berikut beberapa payload yang bisa kalian coba saat XSS ditemukan.
<script>confirm(1)</script>
<svg onload=confirm(1)>
Author tools ini juga mengklaim telah menemukan celah XSS di situs situs besar seperti MIT, Stanford, Duke University, Informatica, Formassembly, ActiveCompaign, Volcanicpixels, Oxford, Motorola, Berkeley.Hebat bukan ?
Nah untuk informasi lebih lanjut bisa kalian kunjungi di halaman github mereka :
Sekian artikel kali ini, jangan lupa share biar banyak yang tau.
