Kali Linux 2021.1でXSS-Scannerを使用しWebサイトのXSS（クロスサイトスクリプティング）脆弱性を検出することについて解説しています。

XSS-Scannerは、ユーザーからリンクを取得し、入力場所に悪意のあるスクリプトを注入することで、ウェブサイトのXSS（クロスサイトスクリプティング）脆弱性をスキャンすることができます。

今回は、あくまでサイバーセキュリティの実験&検証が目的ですので、悪用が目的ではありません。

■PC環境

Windows 10 Pro

VirtualBox6.1

Kali Linux 2021.1（Debian (64-bit)）

■Kali Linuxを起動する

クリックすると、Kali Linuxが起動します。起動後、ログイン画面が表示されますのでユーザIDとパスワードを入力し「Log in」ボタンをクリックします。

クリックすると、Kali Linuxにログインすることができました。

ログイン後、上部メニューになる「ターミナルエミュレーター」をクリックし、ターミナルを起動します。

$sudo su

起動後、上記のコマンドを入力し、Enterキーを押します。スーパーユーザ（root）権限に切り替えます。

■XSS-Scannerのインストール

#git clone https://github.com/MariaGarber/XSS-Scanner.git

切り替えた後に、上記のコマンドを入力し、Enterキーを押します。リポジトリをクローンします。

Enterキーを押して、しばらくするとクローンが完了となります。

#apt install nodejs

#apt install npm

Node.js（npm）のインストールを行いますので、上記のコマンドを入力し、Enterキーを押します。

#cd XSS-Scanner

Enterキーを押すと、インストールが開始され、しばらくすると完了となります。完了後、上記のコマンドを入力し、Enterキーを押します。cdコマンドで「XSS-Scanner」ディレクトリへ移動します。

#npm install

移動後、XSS-Scannerを起動するために、依存関係のあるものをインストールするために、上記のコマンドを入力し、Enterキーを押します。

Enterキーを押すと、インストールが開始され、上記のようなメッセージが表示され、完了となります。

#npm start

完了後、XSS-Scannerを起動するために、上記のコマンドを入力し、Enterキーを押します。

Enterキーを押すと、上記のメッセージが表示されます。「Server has started.」と表示されていますので、Webブラウザを起動し、アドレスバーに「http://localhost:4000/」を入力し、アクセスします。

アクセスすると、ブラウザ画面に「XSS Scanner」と表示されます。「Please Enter URL to scan」と表示された入力欄に、XSS脆弱性をスキャンしたいURLを入力します。

入力後、「Scan」ボタンをクリックすると、スキャンが開始されます。

しばらくするとスキャンが完了となります。