XSSCRAPY -; En esta ocasión toca hablar de esta «herramienta» basada en <Python> cuya función es <capturar> todos los «módulos» de una «plataforma web» con la ayuda de un «Spider» y – a su misma vez – inyectar <código malicioso> («payload») para tratar de <explotar> los fallos – vulnerabilidades – que dicha plataforma nos ofrece (agradecido, como diría el gran «Rosendo«) }:P
Esta <herramienta> está especialmente dedicada (o destinada) a encontrar fallos en un tipo de «vulnerabilidad» conocida como «XSS» (Cross-site Scripting), un error muy «típico» de algunas páginas web (mal cierre, por así decirlo, de <código> «Javascript«) y que puede ser – y será – aprovechado para insertar un «payload» (<código malicioso>) en el «servidor web».
Existen «2 tipos» de <XSS> -;
1º> Directa (llamada <Persistente>);
- Es un tipo de «XSS» que permite <introducir> códigos «HTML» que den pie a insertar un <Script> (o «Iflame») para generar que dicho «Script» se quede introducido en el directorio web afectado (POST).
2º> Indirecta (llamada «Reflejada»);
- Este tipo de <XSS> consiste en modificar los valores que se encuentren en la página web para pasar dos «variables» de páginas web, y que solamente aparecerá con el código <añadido> en «GET».
Vayamos a su <descarga> e «instalación» 😉
Una vez terminada la instalación correctamente (con todos sus «requisitos») no olvidéis dar permisos <chmod 775*>, ejecutar esta herramienta no resulta difícil. Veamos sus «opciones»;
En este caso haremos un «escaneo simple»;
Como se puede observar, la herramienta comienza a hacer un <Spider> de los servicios «GET y POST» e inyectando <payloads> para comprobar si es vulnerable.
Nota I: Tras el «escaneo automático», la herramienta guardará un archivo con los fallos encontrados en la carpeta de <XSSCRAPY>.
Aparecen los <links> con sus «parámetros» comprometidos, inyectaremos un <Script> básico;
Salu2
TonyHAT 
Un comentario en “XSSCRAPY; SQL Injection Spider”