关键词

XSS漏洞检测Web安全测试WAF绕过安全扫描渗透测试

项目简介

这是一个专为安全测试设计的MCP服务器,通过Model Context Protocol向AI客户端提供XSS漏洞扫描能力。它能自动检测目标网站的Web应用防火墙(WAF)类型,并选择最适合的绕过载荷进行测试。

主要功能

  • 智能WAF检测:自动识别12+种WAF类型,包括Cloudflare、Akamai、AWS WAF等主流防护系统
  • 自适应载荷选择:根据检测到的WAF类型自动选择有效的绕过载荷
  • 多种扫描模式:支持单URL扫描、批量URL扫描和纯WAF检测
  • 多种编码支持:提供URL编码、HTML实体编码、Unicode编码等多种载荷变形方式
  • 全面的测试覆盖:支持URL参数、路径、片段等多种注入点检测

安装步骤

  1. 确保系统已安装Python 3.13+和uv包管理器
  2. 克隆项目仓库到本地
  3. 进入项目目录执行依赖安装

服务器配置

在Claude Desktop配置文件中添加以下MCP服务器配置:

{
  "mcpServers": {
    "xss-scanner": {
      "command": "uv",
      "args": [
        "--directory",
        "/path/to/xss_scanner_mcp",
        "run",
        "xss-scanner-mcp"
      ]
    }
  }
}

配置参数说明

  • server name: "xss-scanner" - MCP服务器的标识名称
  • command: "uv" - 使用uv包管理器运行
  • args: 指定项目目录并启动MCP服务器

基本使用方法

安装配置完成后,可以通过AI客户端调用以下工具:

  • 扫描XSS漏洞:输入目标URL,自动检测WAF并测试XSS
  • 检测WAF类型:仅检测目标网站的防护系统
  • 获取WAF专用载荷:查看特定WAF的绕过载荷清单
  • 批量扫描:同时测试多个URL的XSS漏洞
  • 载荷分析:测试单个载荷的有效性和编码版本

注意事项:本工具仅限授权安全测试使用,请确保获得适当授权后再进行漏洞扫描。

信息

分类

网页与API

访问项目