Xss MCP Tester

🚀 xss-mcp-tester

xss-mcp-tester 是一個用於執行 XSS 測試的 MCP 服務器，並且結合了 AI 技術。若想了解該 MCP 服務器的詳細解釋和概念驗證（POC），請訪問作者發佈在 Medium 上的文章：Mypost。

🚀 快速開始

本文檔將指導你完成 xss-mcp-tester 的安裝、配置和使用。該項目支持在 VSCode 中運行，其他環境的安裝過程總體類似。

📦 安裝指南

前提條件

• Python 3.8 及以上版本
• uv 包管理器

安裝 uv（若尚未安裝）

curl -LsSf https://astral.sh/uv/install.sh | sh

安裝步驟

1. 克隆倉庫

git clone https://github.com/yourusername/xss-tester-mcp.git
cd xss-tester-mcp

2. 初始化項目

# 初始化 uv 項目
uv init

# 安裝依賴
uv add mcp playwright fastmcp

# 安裝 Playwright 瀏覽器
uv run playwright install chromium

3. 驗證安裝

uv pip list

配置

將以下內容添加到你的 MCP 客戶端配置文件中：

{
  "mcpServers": {
    "XSS tester": {
      "command": "uv",
      "args": [
        "run",
        "--with",
        "mcp[cli]",
        "--with",
        "playwright", 
        "mcp",
        "run",
        "/path/to/your/project/main.py"
      ]
    }
  }
}

測試

在 VSCode 中啟動 MCP 服務器：

1. 按下 Ctrl + Shift + P（在 Mac 上為 Cmd + Shift + P）。
2. 輸入 “MCP: List Server” 並選擇該選項。
3. 從列表中選擇你的 XSS 測試服務器並運行它。

之後，前往聊天界面，將 AI 設置為代理，即可開始測試。

💻 使用示例

🔍 test_xss_url

此工具用於測試 URL 是否存在 XSS 漏洞，通過檢查是否觸發 JavaScript 執行來判斷。

• 輸入：包含 XSS 有效負載的 URL（例如，https://example.com/search?q=<script>alert(1)</script>）
• 輸出：檢測是否發生任何 JavaScript 執行（如警報、控制檯日誌、文檔寫入等）

📄 get_raw_html_response

使用 urllib 從 URL 獲取原始 HTML 響應。

• 輸入：URL 和可選的最大長度參數
• 輸出：服務器發送的原始 HTTP 響應主體
• 特性：截斷控制、完整響應選項

🔎 search_in_html_response

在 HTML 響應中搜索特定內容。

• 輸入：URL 和搜索詞
• 輸出：包含匹配上下文的搜索結果（匹配項前後各 3 行）
• 用例：在響應中查找特定字符串、令牌或模式

📜 get_javascript_file

獲取 JavaScript 文件以進行手動漏洞分析。

• 輸入：JavaScript 文件的 URL
• 輸出：用於 AI 分析的 JavaScript 源代碼
• 用例：分析 JS 文件中的 DOM XSS 漏洞

🔧 get_http_headers

檢索 HTTP 響應頭以進行安全分析。

• 輸入：URL
• 輸出：所有 HTTP 響應頭
• 用例：分析安全保護措施（如 CSP、X-Frame-Options 等）

🎯 make_custom_http_request

使用自定義頭（身份驗證、cookie、會話）發出 HTTP 請求。

• 輸入：URL、方法、自定義頭字符串、最大長度
• 頭格式："Header1: Value1\nHeader2: Value2\nCookie: session=abc123"
• 輸出：包含請求/響應頭的完整 HTTP 響應
• 用例：測試經過身份驗證的端點、基於會話的漏洞