工具--excesspy 客户端邮件xss检查工具

项目地址:https://github.com/allodoxaphobia/excesspy

基本原理:从http://ha.ckers.org/xssAttacks.xml下载各种xsspayload,然后填充在mail的body,subject,from,to,header中,发送HTML格式邮件,然后客户端检查邮件。

需要有一个账号,发送邮件到该账号,然后通过webmail来浏览各个邮件。如果弹出一个对话框,显示"XSS",那么意味着webmail系统含有漏洞

同时要尝试使用不同浏览器。一些payload在一种浏览器中工作但是在另一种浏览器中不工作。

引用

-h,--helpshowthishelpmessageandexit

-sSMTP_SERVER

-pSMTP_PORT

-fSMTP_FROM

-tSMTP_TO

-aATTACK_TYPE

--param=ATTACK_SUB_TYPE

example:

excess.py -s smtp_server -f from -t to -a [XSS or DIR] --param [XSS: Fieldname, DIR: path]

相关推荐