Automatic XSS Scanning Menggunakan Python
XSS adalah kerentanan umum dalam aplikasi web. Hal ini terjadi ketika aplikasi web mengizinkan data yang tidak tepercaya ditampilkan kepada pengguna, seperti di kolom pencarian atau bagian komentar, tanpa memvalidasi atau mengodekan input dengan benar. Penyerang dapat memanfaatkan kerentanan ini dengan menyuntikkan skrip berbahaya ke dalam input, yang kemudian akan dijalankan ketika pengguna mengunjungi halaman yang terpengaruh.
Untuk melindungi dari serangan XSS, penguji dan pengembang keamanan aplikasi web menggunakan berbagai alat untuk memindai kerentanan. Dalam blog ini, kami akan menunjukkan cara membuat pemindai XSS sederhana menggunakan Python.
Untuk melindungi dari serangan XSS, penguji dan pengembang keamanan aplikasi web menggunakan berbagai alat untuk memindai kerentanan. Dalam blog ini, kami akan menunjukkan cara membuat pemindai XSS sederhana menggunakan Python.
Langkah pertama import request.
import requests
import reBerikutnya, meminta pengguna memasukan URL yang akan di scan
url = input("Enter the URL of the website you want to scan: ")Lalu kita mengirimkan permintaan GET ke URL yang ditentukan dan menyimpan respons dalam suatu variabel.
response = requests.get(url)Untuk mencari potensi kerentanan XSS dalam isi respons, kita akan menggunakan ekspresi reguler untuk menemukan contoh tag
<script>. Kita akan mengompilasi ekspresi reguler menjadi objek pola menggunakan fungsi re.compile(), lalu menggunakan fungsi re.findall() untuk mencari semua contoh pola dalam teks respons.xss_pattern = re.compile(r"")
matches = re.findall(xss_pattern, response.text)Lalu tambahakan output untuk mencetak kredentisial kerentanan XSS.
if len(matches) > 0:
print("Potential XSS vulnerabilities found!")
for match in matches:
print(match)
else:
print("No potential XSS vulnerabilities found.")Pada langkah terakhir tambahkan skrip dalam blok
try-except untuk menangani kesalahan apa pun yang mungkin terjadi selama eksekusi skrip.try:
# Prompt the user to enter the URL of the website to scan
url = input("Enter the URL of the website you want to scan: ")
# Send a GET request to the specified URL and store the response in a variable
response = requests.get(url)
# Search for potential XSS vulnerabilities in the response body
xss_pattern = re.compile(r"")
matches = re.findall(xss_pattern, response.text)
# If potential XSS vulnerabilities were found, print them
if len(matches) > 0:
print("Potential XSS vulnerabilities found!")
for match in matches:
print(match)
else:
print("No potential XSS vulnerabilities found.")
except Exception as e:
print("An error occurred: ", e)Untuk codingan lengkapnya seperti di bawah in.
import requests
import re
# Prompt user for target URL and custom payloads
url = input("Enter target URL: ")
custom_payloads = input("Enter custom payloads (comma-separated): ").split(",")
# Define regex pattern to match potential XSS vulnerabilities in response body
xss_pattern = re.compile(r"")
# Send GET request to target URL and search response body for potential XSS vulnerabilities
try:
response = requests.get(url)
matches = re.findall(xss_pattern, response.text)
except requests.exceptions.RequestException as e:
print("Error: ", e)
exit()
# Check for potential XSS vulnerabilities in response body
if len(matches) > 0:
print("Potential XSS vulnerabilities found:")
for match in matches:
print(match)
else:
print("No potential XSS vulnerabilities found.")
# Check for potential XSS vulnerabilities using custom payloads
if len(custom_payloads) > 0:
print("Searching for potential XSS vulnerabilities using custom payloads...")
for payload in custom_payloads:
# Replace placeholder with custom payload and send GET request to target URL
test_url = url.replace("INJECT_HERE", payload)
try:
test_response = requests.get(test_url)
test_matches = re.findall(xss_pattern, test_response.text)
except requests.exceptions.RequestException as e:
print("Error: ", e)
continue
# Check for potential XSS vulnerabilities in response body
if len(test_matches) > 0:
print("Potential XSS vulnerability found using payload:", payload)
for match in test_matches:
print(match)
else:
print("No potential XSS vulnerabilities found using payload:", payload)Pastikan untuk menyimpan kode ini dalam file dengan
.py ekstensi seperti xss_scanner.py.