Kali Linux 2021.1でXSS-Scannerを使用しWebサイトのクロスサイトスクリプティング脆弱性を検出する
スポンサーリンク
Kali Linux 2021.1でXSS-Scannerを使用しWebサイトのXSS(クロスサイトスクリプティング)脆弱性を検出することについて解説しています。
XSS-Scannerは、ユーザーからリンクを取得し、入力場所に悪意のあるスクリプトを注入することで、ウェブサイトのXSS(クロスサイトスクリプティング)脆弱性をスキャンすることができます。
今回は、あくまでサイバーセキュリティの実験&検証が目的ですので、悪用が目的ではありません。
■PC環境
Windows 10 Pro
VirtualBox6.1
Kali Linux 2021.1(Debian (64-bit))
■Kali Linuxを起動する
クリックすると、Kali Linuxが起動します。起動後、ログイン画面が表示されますのでユーザIDとパスワードを入力し「Log in」ボタンをクリックします。
クリックすると、Kali Linuxにログインすることができました。
ログイン後、上部メニューになる「ターミナルエミュレーター」をクリックし、ターミナルを起動します。
$sudo su
起動後、上記のコマンドを入力し、Enterキーを押します。スーパーユーザ(root)権限に切り替えます。
■XSS-Scannerのインストール
#git clone https://github.com/MariaGarber/XSS-Scanner.git
切り替えた後に、上記のコマンドを入力し、Enterキーを押します。リポジトリをクローンします。
Enterキーを押して、しばらくするとクローンが完了となります。
#apt install nodejs
#apt install npm
Node.js(npm)のインストールを行いますので、上記のコマンドを入力し、Enterキーを押します。
#cd XSS-Scanner
Enterキーを押すと、インストールが開始され、しばらくすると完了となります。完了後、上記のコマンドを入力し、Enterキーを押します。cdコマンドで「XSS-Scanner」ディレクトリへ移動します。
#npm install
移動後、XSS-Scannerを起動するために、依存関係のあるものをインストールするために、上記のコマンドを入力し、Enterキーを押します。
Enterキーを押すと、インストールが開始され、上記のようなメッセージが表示され、完了となります。
#npm start
完了後、XSS-Scannerを起動するために、上記のコマンドを入力し、Enterキーを押します。
Enterキーを押すと、上記のメッセージが表示されます。「Server has started.」と表示されていますので、Webブラウザを起動し、アドレスバーに「http://localhost:4000/」を入力し、アクセスします。
アクセスすると、ブラウザ画面に「XSS Scanner」と表示されます。「Please Enter URL to scan」と表示された入力欄に、XSS脆弱性をスキャンしたいURLを入力します。
入力後、「Scan」ボタンをクリックすると、スキャンが開始されます。
しばらくするとスキャンが完了となります。