XSSpecter - Blind XSS 检测与管理工具

XSSpecter 是一个模块化的盲测跨站脚本（XSS）漏洞管理工具包，包含服务端回调处理和客户端自动化测试工具。

项目概述

XSSpecter 提供两大核心组件：

• 🔗 服务端 - 处理XSS回调、数据持久化和提供Web仪表盘

图片

图片

• 💻 CLI工具 - 自动化XSS负载spray(喷洒)，用于渗透测试

图片

功能特性

服务端功能

• 实时接收并存储XSS回调数据
• 详细的客户端环境信息捕获（用户代理、Cookie、DOM结构等）
• 自动截图功能（使用html2canvas）
• 多通道通知（邮件、Discord、Slack、Telegram）
• 基于Vue 3的现代化仪表盘
• 权限管理与角色控制
• AI辅助报告生成（集成OpenAI）

CLI工具功能

• 自动化网站爬取与表单发现
• 智能XSS负载生成与注入
• 支持GET/POST（包括multipart/form-data）请求
• 可配置的爬取深度和速率限制
• 结果导出为JSON格式
• 丰富的命令行交互体验

技术栈

服务端

• 后端: Node.js, Express, Prisma ORM, PostgreSQL
• 前端: Vue 3, PrimeVue, Tailwind CSS, Chart.js
• 基础设施: Docker, Nginx

CLI工具

• Python 3.10+
• Typer (CLI框架)
• requests (HTTP客户端)
• beautifulsoup4 (HTML解析)
• rich (终端美化)

安装指南

CLI工具安装

# 使用pipx安装（推荐）
pip install pipx
pipx ensurepath
pipx install "git+https://github.com/isira-adithya/PUSL3190.git@main#subdirectory=CLI"

# 验证安装
xsspecter --version

服务端安装

1.确保系统已安装Docker和Docker Compose

2.克隆仓库：

git clone https://github.com/isira-adithya/PUSL3190.git
cd PUSL3190/

3.运行安装脚本：

chmod +x setup.sh
./setup.sh

4.启动服务：

docker-compose up -d

详细安装说明请参考(server/INSTALLATION.md)和(CLI/INSTALLATION.md)。

使用说明

CLI工具基本使用

xsspecter http://example.com --crawl --depth 2

常用参数：

• --crawl: 启用网站爬取
• --depth: 设置爬取深度
• --output: 指定结果输出文件
• --threads: 设置并发线程数

服务端配置

1. 访问仪表盘：http://<your-server-ip>/app/
2. 默认管理员账号：admin / 安装时设置的密码
3. 在设置页面配置通知渠道和其他选项

道德声明

⚠️ 道德声明: 本工具仅限用于已获得明确授权测试的系统和应用程序。未经授权的扫描或利用是非法的且不道德的。请始终遵守适用的法律法规以及您组织的测试规范。

项目链接地址：https://github.com/isira-adithya/PUSL3190.git