---
title: "XSStrike"
weight: 60
description: "高级 XSS 检测工具"
date: "2026-03-24T16:29:46+08:00"
lastmod: "2026-03-24T16:29:46+08:00"
---

## XSStrike

XSStrike 是一款高级 XSS 检测工具，使用多种技术检测和利用 XSS 漏洞。

## 基础使用

### 基础扫描
```bash
python xsstrike.py -u "https://target.com/page?param=value"
```

### 模糊测试模式
```bash
python xsstrike.py -u "https://target.com/page" --fuzzer
```

### 暴力破解模式
```bash
python xsstrike.py -u "https://target.com/page" --brute
```

### 从文件读取 URL
```bash
python xsstrike.py -l urls.txt
```

## 常用参数

| 参数 | 描述 |
|------|------|
| -u | 目标 URL |
| -l | URL 列表文件 |
| --fuzzer | 模糊测试模式 |
| --brute | 暴力破解模式 |
| --payload | 自定义 payload |
| --headers | 自定义头 |
| --timeout | 超时时间 |

## 功能特性

- **多种检测** - 多种 XSS 检测技术
- **Payload 生成** - 智能 payload 生成
- **WAF 绕过** - WAF 检测和绕过
- **DOM 扫描** - DOM XSS 检测
- **上下文分析** - 智能上下文识别

## 检测技术

- **HTML 上下文** - 标签内注入
- **属性上下文** - 属性值注入
- **JavaScript 上下文** - JS 代码注入
- **DOM 上下文** - DOM 操作注入
- **事件处理器** - 事件属性注入

## 使用示例

```bash
# 基本扫描
python xsstrike.py -u "https://target.com/search?q=test"

# 模糊测试
python xsstrike.py -u "https://target.com/search?q=test" --fuzzer

# 自定义 payload
python xsstrike.py -u "https://target.com/search?q=test" --payload "<script>alert(1)</script>"

# 从文件读取
python xsstrike.py -l urls.txt

# 详细输出
python xsstrike.py -u "https://target.com/search?q=test" -v
```

## 参考资源

- [XSStrike GitHub](https://github.com/s0md3v/XSStrike)