:
A utility for identifying web page inputs and conducting XSS scanning.
Features:
Subdomain Discovery:检索目标网站的相关子域,并将其整合到白名单中。这些子域可以在刮擦过程中使用。Site-wide Link Discovery:根据提供的白名单和指定的max_depth收集整个网站上的所有链接。
Form and Input Extraction:标识提取的链接中发现的所有表格和输入,从而生成JSON输出。该JSON输出是利用该工具的XSS扫描功能的基础。
XSS Scanning:启动侦察选项返回包含提取条目的自定义JSON,X-RECON工具可以启动XSS漏洞测试过程并为您提供所需的结果!
Note:
当前,扫描功能在SPA(单页应用程序)Web应用程序上不活动,我们仅在使用PHP开发的网站上对其进行了测试,从而产生了显着的结果。将来,我们计划将这些功能纳入工具。
Note:
该工具保留了在探索过程中跳过的文件扩展名的最新列表。默认列表包括图像,样式表和脚本('.css','。js','。mp4','。zip','png','png','。svg',jpeg','。您可以通过编辑设置。
Installation
$ git克隆https://github.com/joshkar/x-recon$ CD X-RECON
$ python3 -m pip install -r unigess.txt
$ python3 xr.py
Target For Test:
您可以在“ get URL”部分中使用此地址正在加载...
testphp.vulnweb.com
