OWASP出品:Xenotix XSS漏洞测试框架及简单使用
OWASP Xenotix XSS Exploit Framework是一個高效的跨站腳本漏洞(XSS)檢測和攻擊測試框架。它通過特有的三大瀏覽器引擎(包括Trident, WebKit和Gecko)進行安全掃描檢測,并且其號稱擁有全世界第二大的XSS測試Payload,同時具有WAF繞過能力。
掃描模塊
Manual Mode Scanner
Auto Mode Scanner
DOM Scanner
Multiple Parameter Scanner
POST Request Scanner
Header Scanner
Fuzzer
Hidden Parameter Detector
信息采集模塊
Victim Fingerprinting
Browser Fingerprinting
Browser Features Detector
Ping Scan
Port Scan
Internal Network Scan
攻擊測試模塊
Send Message
Cookie Thief
Phisher
Tabnabbing
Keylogger
HTML5 DDoSer
Executable Drive By
JavaScript Shell
Reverse HTTP WebShell
Drive-By Reverse Shell
Metasploit Browser Exploit
Firefox Reverse Shell Addon (Persistent)
Firefox Session Stealer Addon (Persistent)
Firefox Keylogger Addon (Persistent)
Firefox DDoSer Addon (Persistent)
Firefox Linux Credential File Stealer Addon (Persistent)
Firefox Download and Execute Addon (Persistent)
附加工具
WebKit Developer Tools
Payload Encoder
下載地址
https://www.owasp.org/index.php?title=OWASP_Xenotix_XSS_Exploit_Framework&setlang=es
?
二:使用Xenotix_XSS框架進行自動化安全測試
?
配置服務器:
點擊"setting—>configure server—>start",服務器就配置完成。
掃描測試
scanner里面的"get request manualmode"是手動測試,即每次點擊start的時候,只會執行一個payload,而"get request auto mode"是自動測試,設置時間間隔,就可以自動掃描。每次掃描的結果會在下面的三個瀏覽器中顯示結果。
URL填寫要測試的頁面,parmeter填寫"參數=",測試時完整的URL可以在Browse處看到。
手動測試:
?
自動測試:
自動模式,在Inteval中設置時間間隔,然后點擊start開始測試,可以點擊pause暫停
? ?
多參數測試multiple parameter scanner:
點擊"get parameters"會自動識別出URL中的多個參數,設置時間間隔后,點擊start會逐個對每次參數進行測試。
URL fuzzer:
將需要fuzz的參數值修改為" [X]",然后工具會對設置了[X]的參數進行測試
POST request scanner:
URL填寫要測試的頁面
Parameters填寫POST的參數,參數值用[X]代替,response會在頁面和postresponse body里面顯示。
request repeater:
repeater里面支持get、post和trace方法,同樣的,將HOST填寫地址,path填寫路徑,參數值用[X]代替,start開始掃描
DOM SCAN:
個人寫了幾個DOM腳本,結果都沒掃描到。。。沒法截圖了
? ?
隱藏表單檢測:hidden parameter detector
很明顯,就是檢測html中的隱藏表單。
在tool下面的encode/decode工具也是比較常用的,不過編碼不是太多:
?
轉載于:https://www.cnblogs.com/h4ck0ne/p/5154682.html
總結
以上是生活随笔為你收集整理的OWASP出品:Xenotix XSS漏洞测试框架及简单使用的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 分享几种绕过防注入的方法
- 下一篇: 10.8.5如何升级(app store