XSS 攻撃をデータベースに直接書き込むためのクロスプラットフォーム ツールはありますか?
-
20-09-2019 - |
質問
最近見つけました このブログエントリー XSS 攻撃をデータベースに直接書き込むツール。これは、アプリケーションの弱点をスキャンするのに非常に良い方法のように思えます。
実行してみました 単核症, 、私の開発プラットフォームはLinuxなので。残念ながら、それはクラッシュします System.ArgumentNullException
心の奥底で Microsoft.Practices.EnterpriseLibrary
そして、このソフトウェアに関する十分な情報が見つからないようです (これは単発プロジェクトのようで、ホームページもなく、さらなる開発もありません)。
似たようなツールを知っている人はいますか?できれば次のようにする必要があります。
- クロスプラットフォーム (Java、Python、.NET/Mono、クロスプラットフォーム C でも問題ありません)
- オープン ソース (セキュリティ ツールを監査できるのがとても気に入っています)
- 幅広い DB 製品と通信できる (大手製品が最も重要:MySQL、Oracle、SQL Server など)
編集: 私の目標を明確にしたいと思います。というツールが欲しいのですが、 直接 と書きます 結果 データベースへの XSS/SQL インジェクション攻撃の成功の様子。アイデアは、アプリ内のすべての場所が正しいかどうかを確認したいということです 出力エンコーディング. 。そもそも、そこに到達するデータを検出することと回避することはまったく別のことです (また、サードパーティのアプリケーションによって DB に書き込まれたデータを表示する場合には不可能な場合があります)。
編集2: 上でリンクしたツールの作者である Corneliu Tusnea は、その後、このツールを codeplex でフリー ソフトウェアとしてリリースしました。 http://xss Attack.codeplex.com/
解決
私はMetasploitのは、あなたが探している属性のほとんどを持っていると思います。私は考えることができる他のすべては、クローズドソースであるため、それも、あなたが指定した内容のすべてを持っているだけであってもよいです。 HTTPのMicrosoft SQLインジェクション表XSS感染:XSSに対処し、あなたがでかいま見を取る必要があること、特に1いくつかの既存のモジュールがあります。そのモジュールの音から、それはあなたがやりたいと思っているまさに行うことが可能です。 フレームワークは、私は信じているRubyで書かれている、とあなたが/何をしたい必要があるかもしれない独自のモジュールで拡張しやすいようになっています。 私はそれが役に立てば幸います。
他のヒント
わからない、HTTP / HTTPSます。
のためにそのパラメータfuzzer私はしばらくそれを使用していないが、IIRCそれはあなたと該当のWebアプリケーション間のプロキシとして機能し - とレスポンスが「面白い」であったかどうかをみなし前に、任意の入力フィールドにXSS / SQLインジェクション攻撃の文字列を挿入しますかどうか、したがってアプリケーションが脆弱であるか否か。
http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project の
あなたの質問から、私は推測している、それはあなたが探しているfuzzerの一種であり、XSSやウェブアプリケーションのための、特に1。私が正しい場合は - そして、それはあなたを助けるかもしれません。
!オープンWebアプリケーションセキュリティプロジェクト(OWASP)のその一部を「ヤハ」は上記にあなたをリンクされていることを。
ここではいくつかのXSSのテストを行うには、いくつかのFirefoxのプラグインがあります。 http://labs.securitycompass.com/index.php/exploit-me/ >
私の友人はこう言い続けています。 php-id かなり良いです。私自身は試していませんが、あなたの説明とほぼ一致するように思えます。
- オープンソース (LGPL)、
- クロスプラットフォーム - PHP はリストにありませんが、おそらく大丈夫でしょうか?
- 「あらゆる種類の XSS、SQL インジェクション、ヘッダー インジェクション、ディレクトリ トラバーサル、RFE/LFI、DoS、LDAP 攻撃」を検出します (これは FAQ からのものです)
- データベースにログを記録します。
私はあなたに私たちを指摘したもの以外、このようなツールは、ないと思います。私はそのための十分な理由があると思う:それはおそらく、それぞれすべての出力が正しく適用されるコンテキストのためにエンコードされていることをテストするための最良の方法ではありません。
。は、そのツールについて読んでから、前提がデータベースにランダムXSSのベクトルを挿入して、あなたがそれらのベクターのいずれかが成功するかどうかを確認するために、アプリケーションをブラウズしているようです。これは、控えめに言っても、かなりのヒットとミスの方法論である。
はるかに良いアイデアは、私が思うに、コードレビューを行うことであろう。
あなたはそれが役に立つ http://owasp.orgするで利用可能なリソースのいくつかを見て持っているかもしれません - つまり、アプリケーションセキュリティ検証標準(ASVS)、テスティングガイドとコードレビューガイド
。