xscan工具-自动寻找反射XSS漏洞方法及配置详解

XSScan是一款具备强大功能的工具，通过使用html与javascript词法分析技术，自动寻找反射XSS漏洞。它还配备了静态爬虫，只需输入URL即可自动寻找XSS漏洞。支持对get、uri、header、cookie、post等进行检测。使用config.yaml进行配置可满足一般需求，同时高级用户也可以根据自己的需求进行个性化配置。除此之外，还支持单网址扫描和多网址扫描。使用similarity相似度阈值灵活设置，若发现网站基本一样，可以将相似度调高至0.98~0.99，其他情况下，默认的0.95已经相当高了。如果需要了解返回包细节，可以将response设置为True。扫描完毕后可设置finish_notify为True以接收通知。另外，可以通过将no_scope设置为True来进行不受限范围的XSS扫描。