Gibt es Cross-Plattform-Tools XSS-Angriffe direkt auf die Datenbank zu schreiben?

StackOverflow https://stackoverflow.com/questions/2453499

  •  20-09-2019
  •  | 
  •  

Frage

Ich habe dieser Blog-Eintrag auf einem Werkzeug, dass schreibt direkt XSS-Angriffe auf die Datenbank. Es sieht aus wie eine schrecklich gute Möglichkeit, einen Antrag auf Schwächen in meinen Anwendungen zu scannen.

Ich habe versucht, es auf Mono zu laufen, da meine Entwicklungsplattform ist Linux. Leider stürzt es mit einem System.ArgumentNullException tief in Microsoft.Practices.EnterpriseLibrary und ich scheine nicht in der Lage sein, ausreichende Informationen über die Software zu finden (es scheint, ohne Homepage und keine weitere Entwicklung ein Single-Shot-Projekt zu sein).

Ist jemand bewusst ein ähnliches Werkzeug? Vorzugsweise sollte es sein:

  • Cross-Plattform (Java, Python, .NET / Mono, sogar plattformübergreifende C ist ok)
  • Open Source (Ich mag, dass ich meine Sicherheits-Tools überprüfen)
  • der Lage, auf eine breite Palette von DB-Produkte (die Großen am wichtigsten sind: MySQL, Oracle, SQL Server, ...) zu sprechen

Edit: Ich mag mein Ziel klären: ich ein Tool mag, dass direkt schreibt das Ergebnis , das ein erfolgreicher XSS / SQL-Injection-Angriff in die Datenbank. Die Idee ist, dass ich, dass jeder Platz in meinem App überprüfen möge tut richtig Ausgabecodierung . Erkennen und die Daten vermieden werden immer dort an erster Stelle ist eine ganz andere Sache (und vielleicht nicht möglich sein, wenn ich Daten anzeigen, die von einer Drittanbieter-Anwendung in die DB geschrieben wird).

Edit 2: Corneliu Tusnea, der Autor des Werkzeugs ich oben verbunden, hat das Werkzeug als freie Software auf Codeplex seit Freigabe: http://xssattack.codeplex.com/

War es hilfreich?

Lösung

Ich denke, Metasploit die meisten Attribute hat die Sie suchen. Es kann sogar die einzige sein, die alle von dem, was Sie angeben, da alle anderen, die ich von sind Closed-Source denken kann. Es gibt einige vorhandene Module, die sich mit XSS und ein insbesondere, dass Sie einen Blick nehmen sollte: HTTP Microsoft SQL-Injection-Tabelle XSS-Infektion. Aus den Klängen des Moduls ist es in der Lage genau zu tun, was Sie tun wollen, sind. Der Rahmen ist in Ruby geschrieben glaube ich, und sollte einfach sein, mit eigenen Modulen zu erweitern, die Sie benötigen können / wollen tun. Ich hoffe, das hilft.

http://www.metasploit.com/

Andere Tipps

Nicht sicher, ob dies ist, was Sie nach, es ist ein Parameter fuzzer für HTTP / HTTPS.

Ich habe es eine Weile nicht benutzt, aber IIRC wirkt es einen Proxy zwischen Ihnen und der Web-Anwendung in Frage - und XSS / SQL-Injection-Angriff Strings in beliebigen Eingabefelder ein, bevor Anmutung, ob die Antwort war „interessant“ oder nicht, also ob die Anwendung anfällig ist oder nicht.

http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project

Aus Ihrer Frage Ich vermute, es ist eine Art von fuzzer Sie suchen, und ein speziell für XSS und Web-Anwendungen; wenn ich richtig - dann das könnte Ihnen helfen,

Der Teil des Open Web Application Security Project (OWASP), dass "jah" hat man im Zusammenhang mit oben.

Es gibt einige Plugins Firefox testen einige XSS zu tun hier: http://labs.securitycompass.com/index.php/exploit-me/

Ein Freund von mir sagt immer wieder, dass php-ids ziemlich gut. Ich habe es selbst nicht ausprobiert, aber es klingt, als ob es könnte Ihre Beschreibung in etwa entsprechen:

  • Open Source (LGPL),
  • Cross Platform - PHP ist nicht in der Liste, aber vielleicht ist es ok
  • Entdeckt "alle Arten von XSS, SQL Injection, Header-Injection, Directory Traversal, RFE / LFI, DoS und LDAP-Angriffe" (das aus der FAQ ist)
  • Protokolle zu Datenbanken.

Ich glaube nicht, es ist so ein Werkzeug, andere als die, die Sie uns darauf an. Ich denke, es gibt einen guten Grund dafür: Es ist wahrscheinlich nicht der beste Weg, um Test, dass jeder Ausgang richtig für den entsprechenden Kontext codiert ist

.

Aus der Lektüre über dieses Werkzeug scheint es die Prämisse Zufall xss Vektoren in die Datenbank einzufügen und dann sehen Sie Ihre Anwendung zu sehen, ob diese Vektoren gelingen. Dies ist eher ein Hit and miss Methodik, um es gelinde auszudrücken.

Eine viel bessere Idee, glaube ich, wäre Code-Reviews durchführen.

Sie können finden es hilfreich, einen Blick auf einige der Ressourcen unter http://owasp.org -. nämlich die Application Security Verification Standard (ASVS), der Testing Guide und der Code-Review-Führer

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top