是否有交叉平台的工具来编写的XSS攻击的直接的数据库？

Question

我最近发现 这个博客入口 在一个工具，写XSS攻击的直接的数据库。它看起来像一个非常好的方式来扫描的应用程序的弱点在我的应用。

我已经试过上运行它 单, ，由于我的发展平台是Linux。不幸的是，它与一个崩溃 System.ArgumentNullException 内心深处 Microsoft.Practices.EnterpriseLibrary 我似乎无法找到足够的关于软件的信息(这似乎是一个单一项目，有没有首页，并没有进一步发展)。

是任何人知道类似的工具？最好应该是：

• 跨平台(Java、Python,.NET/单，甚至跨平台C是确定)
• 开放源(我真的很喜欢能够审计我的安全的工具)
• 能够跟一个范围广泛的数据库产品(大部分是最重要的是：MySQL,Oracle,SQL Server,...)

编辑： 我想澄清我的目标：我想一个工具， 直接 写的 结果， 一个成功的XSS/SQL注的攻击进入该数据库。这个想法是，我要检查每一个地方，在我的应用程序不正确 编码输出.检测以及避免了数据的获取存在的首先是一个完全不同的东西(并可能不可能当我显示的数据编写的数据库通过的第三方应用程序)。

编辑2: 斯Tusnea，提交人的工具，我与上述，由于公布的工具的免费软件在更: http://xssattack.codeplex.com/

Answer 1

我认为。大部分属性。它甚至可能是唯一一个拥有所有的什么你指定的，因为所有其他人我能想到的是封闭源。有几个现有的模块处理的XSS和一个特别是，你应该看一下:HTTP Microsoft SQL注表XSS感染。从听的模块，这是能够做什么你想要做的。该框架是写在红宝石我相信，应该是容易扩展与您自己的模块，你可能需要/要做。我希望这有所帮助。

http://www.metasploit.com/

Answer 2

不知道，如果这是你追求的是什么，它的一个参数模糊器HTTP/HTTPS。

我没有用过它在一段时间，但请参考它的行为之间的代理你和网络应用程序问题和将插入XSS/SQL注射攻击串到任何输入的领域之前，认为是否应是"有趣"，或者没有，因此应用程序是否是脆弱或没有。

http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project

从你的问题我猜测它是一种类型的模糊器你要找的,和一个具体的XSS和网络应用程序；如果我是对的-那么，可能会帮助你！

其一部分的开放式网络应用程序安全项目(异)，"扎哈"联系在一起，你到上面。

Answer 3

还有一些火狐插件做一些XSS测试这里:http://labs.securitycompass.com/index.php/exploit-me/

Answer 4

我的一个朋友说， php-id 是漂亮的好。我还没有尝试过自己，但它的声音，因为如果它可能近似匹配你的说明：

• Open Source(LGPL),
• 交叉平台-PHP是不是在你的名单，但也许它好吗?
• 检测"有各种各样的XSS，SQL注，头注射、目录穿越，RFE/LFI，DoS和LDAP的攻击"(这是从常见问题解答)
• 日志数据库。

Answer 5

我不认为有这样的一个工具，另一个比你指我们。我认为有很好的理由:它可能不是最好的方式来测试，每个产出是否正确编码，用于适用的上下文。

从阅读有关的工具，这似乎是前提是插入随机的xss载入数据库，然后你浏览你的应用程序来看如果任何这些矢量取得成功。这是而是一个打击和近的方法，至少可以这样说。

一个更好的主意，我认为，将执行代码评论。

你可能会发现它有助于有一个在某些资源 http://owasp.org -即应用程序安全性验证标准(阀)，测试指南和代码审查的指导。