Principais características
Escaneamento XSS baseado em correspondência de padrões
alerta confirme evento promptDetect no navegador sem cabeça (com Selenium)​
Solicitação/resposta de teste para bypass de proteção XSS e parâmetros refletidos (ou todos)
Parâmetros refletidos
Todos os parâmetros (para blind xss, qualquer coisa)
manipulador de testevent filtrado tag HTML Special Char Código útil
Não teste a carga especial só para você!
Testing Blind XSS (todos os testes cegos baseados em url com XSS Hunter , ezXSS, HBXSS, etc...)
Análise Dinâmica/Estática
Encontre o padrão de erro SQL
Cabeçalhos de segurança de análise (opções de quadro X CSP HSTS, proteção XSS, etc.)
Análise Outros tópicos..(versão do servidor, tipo de conteúdo, etc...)​
Teste XSS para caminho URI
Testando apenas a análise de parâmetros (também conhecido como nenhum modo XSS)​
Digitalizar a partir do arquivo Raw (pacote Burp, solicitação ZAP)​
XSpear rodando em código Ruby (com biblioteca Gem)
Mostrar regra filtrada do relatório de cli da base da tabela, testando a consulta bruta (url)​
Teste nos parâmetros selecionados
Suporta formato de saídacli json html
clichê
json
html​
Suporte de nível detalhado (0~3)
0: modo silencioso (somente resultado)​
1: mostra o status da verificação (padrão)​
2: mostrar logs de verificação
3: mostrar log de detalhes (obrigatório/res)​
Suporte a código de retorno de chamada personalizado para testar vários vetores de ataque
Arquivo de configuração de suporte

Instalação:

https://github.com/hahwul/XSpear#key-features

Vídeo de uso:    https://youtu.be/W4VN1u2lv2U