OWASP出品:Xenotix XSS漏洞测试框架及简单使用
OWASP Xenotix XSS Exploit Framework是一个高效的跨站脚本漏洞(XSS)检测和攻击测试框架。它通过特有的三大浏览器引擎(包括Trident, WebKit和Gecko)进行安全扫描检测,并且其号称拥有全世界第二大的XSS测试Payload,同时具有WAF绕过能力。
扫描模块
Manual Mode Scanner
Auto Mode Scanner
DOM Scanner
Multiple Parameter Scanner
POST Request Scanner
Header Scanner
Fuzzer
Hidden Parameter Detector
信息采集模块
Victim Fingerprinting
Browser Fingerprinting
Browser Features Detector
Ping Scan
Port Scan
Internal Network Scan
攻击测试模块
Send Message
Cookie Thief
Phisher
Tabnabbing
Keylogger
HTML5 DDoSer
Executable Drive By
JavaScript Shell
Reverse HTTP WebShell
Drive-By Reverse Shell
Metasploit Browser Exploit
Firefox Reverse Shell Addon (Persistent)
Firefox Session Stealer Addon (Persistent)
Firefox Keylogger Addon (Persistent)
Firefox DDoSer Addon (Persistent)
Firefox Linux Credential File Stealer Addon (Persistent)
Firefox Download and Execute Addon (Persistent)
附加工具
WebKit Developer Tools
Payload Encoder
下载地址
https://www.owasp.org/index.php?title=OWASP_Xenotix_XSS_Exploit_Framework&setlang=es
二:使用Xenotix_XSS框架进行自动化安全测试
配置服务器:
点击"setting—>configure server—>start",服务器就配置完成。
扫描测试
scanner里面的"get request manualmode"是手动测试,即每次点击start的时候,只会执行一个payload,而"get request auto mode"是自动测试,设置时间间隔,就可以自动扫描。每次扫描的结果会在下面的三个浏览器中显示结果。
URL填写要测试的页面,parmeter填写"参数=",测试时完整的URL可以在Browse处看到。
手动测试:
自动测试:
自动模式,在Inteval中设置时间间隔,然后点击start开始测试,可以点击pause暂停
多参数测试multiple parameter scanner:
点击"get parameters"会自动识别出URL中的多个参数,设置时间间隔后,点击start会逐个对每次参数进行测试。
URL fuzzer:
将需要fuzz的参数值修改为" [X]",然后工具会对设置了[X]的参数进行测试
POST request scanner:
URL填写要测试的页面
Parameters填写POST的参数,参数值用[X]代替,response会在页面和postresponse body里面显示。
request repeater:
repeater里面支持get、post和trace方法,同样的,将HOST填写地址,path填写路径,参数值用[X]代替,start开始扫描
DOM SCAN:
个人写了几个DOM脚本,结果都没扫描到。。。没法截图了
隐藏表单检测:hidden parameter detector
很明显,就是检测html中的隐藏表单。
在tool下面的encode/decode工具也是比较常用的,不过编码不是太多:
转载于:https://www.cnblogs.com/h4ck0ne/p/5154682.html
OWASP出品:Xenotix XSS漏洞测试框架及简单使用相关推荐
- Web应用进行XSS漏洞测试
对 WEB 应用进行 XSS 漏洞测试,不能仅仅局限于在 WEB 页面输入 XSS 攻击字段,然后提交.绕过 JavaScript 的检测,输入 XSS 脚本,通常被测试人员忽略.下图为 XSS 恶意 ...
- 回顾几个常见的XSS漏洞测试脚本
回顾几个常见的XSS漏洞测试脚本 基础的测试: <script>alert('xss')</script> 如果过滤了指定标签 比如:<script>标签 < ...
- DOYO网站xss漏洞测试
一.寻找xss漏洞 一般想获取最高权限,就要找存储型xss漏洞,这样的漏洞是服务器和浏览器进行数据交换的,有利于数据写入进去.一般留言板.评论区可能性最大. 1.评论区 <script>a ...
- Xss漏洞原理分析及简单的讲解
感觉百度百科 针对XSS的讲解,挺不错的,转载一下~ XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS, ...
- 基于网络爬虫的XSS漏洞检测技术
1. 背景和意义 在早期的网站设计中,网页的存在形式都是静态的.静态的网页内容稳定,不会经常更新,但是在后期却不易维护.如果需要维护更新网页,则必须重新编辑HTML网页,因此当网站很庞大的时候,维护静 ...
- XSS Reflected 测试
前言 由于最近在做XSS方面的测试,于是找到了DVWA平台进行实验测试,通过这三篇文章让大家了解XSS方面的大概内容,这三篇文章只是把你领进XSS的大门,要想真正深入的学习XSS,你还需要去学习很多东 ...
- pikachu之xss漏洞学习
1简介 XSS是一种发生在Web前端的漏洞,所以其危害的对象也主要是前端用户 XSS漏洞可以用来进行钓鱼攻击.前端js挖矿.盗取用户cookie,甚至对主机进行远程控制 攻击流程# 假设存在漏洞的是一 ...
- 利用XSS漏洞实现键盘记录器
利用XSS漏洞实现键盘记录器 本实验以反射性的XSS漏洞为例 实验环境:dvwa靶机(ip:192.168.135.140) kali linux(ip:192.168.135.138) 1.首先开启 ...
- Pocsuite3渗透测试框架编写POC和EXP脚本
在我们的日常渗透测试中,经常挖掘到一些漏洞,但是我们一般使用挖掘工具或者手工判断的时候,不好确定是不是真的存在这么一个漏洞,因此POC脚本就应运而生了.POC全称是Proof of Concept,中 ...
最新文章
- Sublime Text使用教程【转】
- 产业丨一文读懂人工智能产业链,未来10年2000亿美元市场
- 好久没写blog了。最近感觉自己老了
- linux中间隔10ping一次脚本,linux批量ping脚本shell
- linux elf命令,linux strings 命令——ELF文件格式与“链接和装载”
- 数据挖掘基础学习一:VMware虚拟机Ubuntu上安装Python和IPython Notebook(Jupyter Notebook)完整步骤及需要注意的问题(以ubuntu-18.04.3为例)
- git did not exit cleanly (exit code 128)
- 执行下面程序段后,y的结果是____。int x,y;x=y=2;x=x-2(y=y+1);printf(“%d“,y);A。3 B.2 C.1 D。0
- debian 配置linuxptp 软件时间戳
- 130242014049-魏俊斌-《电商系统分类模块》
- apollo 配置中心_Apollo 配置中心:分布式部署
- 8. Numpy的索引和切片 (Indexing and Slicing)
- RL Python练习
- 禁止计算机使用u盘启动,电脑禁用u盘的设置方法
- python开头编码cc手_python 利用cip.cc查询IP归属地
- 房屋登记官考核模拟题(6)
- 浅谈两点分布,二项分布,伽马分布,指数分布,泊松分布,卡方分布,t分布,F分布,均匀分布,正态分布,β分布,狄利克雷分布--概率分布家族的伦理关系
- Redis的发布订阅
- 使用ngrok 二 -- 微信公众号笔记---本地调试微信接口
- Window环境下进入MySQL命令窗口