Kali Linux 2021.1で自動XSS脆弱性スキャナーツール「PwnXSS」を使用する
スポンサーリンク
Kali Linux 2021.1で自動XSS脆弱性スキャナーツール「PwnXSS」を使用してみます。
PwnXSSは、Githubで利用できる無料のオープンソースツール(https://github.com/pwn0sec/PwnXSS)で、クロスサイトスクリプティング(XSS)を簡単に発見することができます。
なお、PwnXSSは、Kali LinuxにPython3.7がインストールされている必要があり、またBeautifulSoup4モジュールと、requestsモジュールが必要になります。
今回は、あくまでサイバーセキュリティの実験&検証が目的ですので、悪用が目的ではありません。
■PC環境
Windows 10 Pro
VirtualBox6.1
Kali Linux 2021.1(Debian (64-bit)),Python 3.9.2
■Kali Linuxを起動する
クリックすると、Kali Linuxが起動します。起動後、ログイン画面が表示されますのでユーザIDとパスワードを入力し「Log in」ボタンをクリックします。
クリックすると、Kali Linuxにログインすることができました。
ログイン後、上部メニューになる「ターミナルエミュレーター」をクリックし、ターミナルを起動します。
$sudo su
起動後、上記のコマンドを入力し、Enterキーを押します。スーパーユーザ(root)権限に切り替えます。
■PwnXSSのインストール
#git clone https://github.com/pwn0sec/PwnXSS
切り替えた後に、上記のコマンドを入力し、Enterキーを押します。リポジトリをクローンします。
Cloning into 'PwnXSS' ... remote: Enumerating objects: 118, done. remote: Counting objects: 100% (118/118), done. remote: Compressing objects: 100% (110/110), done. remote: Total 118 (delta 37), reused 5 (delta 2), pack-reused 0 Receiving objects: 100% (118/118), 160.72 KiB 919.00 KiB/s, done. Resolving deltas: 100% (37/37), done.
Enterキーを押して、しばらくするとクローンが完了となります。
#chmod 755 -R PwnXSS
完了後、上記のコマンドを入力し、Enterキーをクリックします。ディレクトリに対するアクセス特権の設定します。
#pip3 install bs4
#pip3 install requests
Enterキーを押した後、上記のコマンドを入力し、Enterキーをクリックします。PwnXSSの要件であるbs4とrequestsをインストールします。
■PwnXSSの起動
#python3 pwnxss.py --help
Enterキーを押すと、インストールが完了となります。完了後、上記のコマンドを入力し、Enterキーを押します。PwnXSSのヘルプを表示します。
Enterキーを押すと、ヘルプが表示されます。今回はPwnXSSのVersion 0.5 Finalを起動しています。
■クロスサイトスクリプティング(PwnXSS)の脆弱性チェックをする
#python3 pwnxss.py -u http://www.example.com(チェックしたいWebサイト)
ヘルプが表示された後は、検証のため、クロスサイトスクリプティング(PwnXSS)の脆弱性チェックをしてみます。チェックする場合は、上記のコマンドを入力し、Enterキーを押します。
Enterキーを押すと、クロスサイトスクリプティング(PwnXSS)の脆弱性チェックが開始され、Webサイトを何度もチェックし、脆弱なWebサイトが見つかるとターミナル上に表示されます。