是否有交叉平台的工具来编写的XSS攻击的直接的数据库?
-
20-09-2019 - |
题
我最近发现 这个博客入口 在一个工具,写XSS攻击的直接的数据库。它看起来像一个非常好的方式来扫描的应用程序的弱点在我的应用。
我已经试过上运行它 单, ,由于我的发展平台是Linux。不幸的是,它与一个崩溃 System.ArgumentNullException
内心深处 Microsoft.Practices.EnterpriseLibrary
我似乎无法找到足够的关于软件的信息(这似乎是一个单一项目,有没有首页,并没有进一步发展)。
是任何人知道类似的工具?最好应该是:
- 跨平台(Java、Python,.NET/单,甚至跨平台C是确定)
- 开放源(我真的很喜欢能够审计我的安全的工具)
- 能够跟一个范围广泛的数据库产品(大部分是最重要的是:MySQL,Oracle,SQL Server,...)
编辑: 我想澄清我的目标:我想一个工具, 直接 写的 结果, 一个成功的XSS/SQL注的攻击进入该数据库。这个想法是,我要检查每一个地方,在我的应用程序不正确 编码输出.检测以及避免了数据的获取存在的首先是一个完全不同的东西(并可能不可能当我显示的数据编写的数据库通过的第三方应用程序)。
编辑2: 斯Tusnea,提交人的工具,我与上述,由于公布的工具的免费软件在更: http://xssattack.codeplex.com/
解决方案
我认为。大部分属性。它甚至可能是唯一一个拥有所有的什么你指定的,因为所有其他人我能想到的是封闭源。有几个现有的模块处理的XSS和一个特别是,你应该看一下:HTTP Microsoft SQL注表XSS感染。从听的模块,这是能够做什么你想要做的。该框架是写在红宝石我相信,应该是容易扩展与您自己的模块,你可能需要/要做。我希望这有所帮助。
其他提示
不知道,如果这是你追求的是什么,它的一个参数模糊器HTTP/HTTPS。
我没有用过它在一段时间,但请参考它的行为之间的代理你和网络应用程序问题和将插入XSS/SQL注射攻击串到任何输入的领域之前,认为是否应是"有趣",或者没有,因此应用程序是否是脆弱或没有。
http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
从你的问题我猜测它是一种类型的模糊器你要找的,和一个具体的XSS和网络应用程序;如果我是对的-那么,可能会帮助你!
其一部分的开放式网络应用程序安全项目(异),"扎哈"联系在一起,你到上面。
还有一些火狐插件做一些XSS测试这里:http://labs.securitycompass.com/index.php/exploit-me/
我的一个朋友说, php-id 是漂亮的好。我还没有尝试过自己,但它的声音,因为如果它可能近似匹配你的说明:
- Open Source(LGPL),
- 交叉平台-PHP是不是在你的名单,但也许它好吗?
- 检测"有各种各样的XSS,SQL注,头注射、目录穿越,RFE/LFI,DoS和LDAP的攻击"(这是从常见问题解答)
- 日志数据库。
我不认为有这样的一个工具,另一个比你指我们。我认为有很好的理由:它可能不是最好的方式来测试,每个产出是否正确编码,用于适用的上下文。
从阅读有关的工具,这似乎是前提是插入随机的xss载入数据库,然后你浏览你的应用程序来看如果任何这些矢量取得成功。这是而是一个打击和近的方法,至少可以这样说。
一个更好的主意,我认为,将执行代码评论。
你可能会发现它有助于有一个在某些资源 http://owasp.org -即应用程序安全性验证标准(阀),测试指南和代码审查的指导。