一、标题:XSS 自动化检测 Fiddler Watcher & x5s  & ccXSScan 初识     automated XSS testing assistant

二、引言

Google大神告诉我,Watcher  &  x5s 这两插件技术文章非常稀有,《XSS 自动化检测 Fiddler Watcher & x5s  & ccXSScan初识》

整篇文章讲的就是初识两工具,并记录安装使用的过程记录!深入还有待完善.....

三、Before

3.1 关于XSS自动化检测的那些事

在wooyun上学习心伤的瘦子 [腾讯实例教程] 那些年我们一起学XSS。看到有xss扫描神器(谣传有此神器,未见其实,大帽没share o(╯□╰)o)

(力荐学XSS Bypass的两大正营:1.二哥的XSS教学 - by gainover 2.心伤的瘦子 [腾讯实例教程] 那些年我们一起学XSS)

&且在y35u那里知道的DoMinator神器(mindedsecurity,有点伤感“囧”只用了15天,破解方法不成功)

DOMinator不能用之后,在网上见到许多有XSS扫描工具,像BurpSuite有自动化扫描插件 BurpSuite_DOMxss_scanners插件

有兴趣请跳转到http://www.3hack.com/tools/BurpSuite_DOMxss_scanners%E6%8F%92%E4%BB%B6.txt

【需求】迫切需找一个神器能自动扫描检测XSS,绝非用Nessus、Paros等整站扫描性质的。

源于看了这篇文章:11个免费的Web安全测试工具 ,Fiddler 神器居然也有XSS扫描插件(推测Charles应该也有...)。

so...今天重点是:

1.Watcher

2.x5s

3.ccXSScan

四.故事Ing

4.1 Watcher  &  x5s 初识

【Luolired】网上太多这样的文绉绉介绍,略晓即可,技术使用细节教程几乎没有,第一步需要的就是汉化doucment。

A)Watcher - Passive Security Auditor

Watcher is a runtime passive-analysis tool for Web applications. It detects Web-application security issues as well as operational configuration issues. Watcher provides pen-testers hotspot detection for vulnerabilities, developers quick sanity checks, and auditors PCI and OWASP compliance auditing.

It looks for issues related to mashups, user-controlled payloads (potential XSS), cookies, comments, HTTP headers, SSL, Flash, Silverlight, referrer leaks, information disclosure,

Unicode, and more.  Learn more...

Watcher是一个实时的基于HTTP的web应用程序被动分析工具。被动意味着它不会对系统造成破坏,它可以十分安全的用于云计算机、共享主机和托管主机环境。

Watcher即能够

检测web应用程序安全问题还能够监测业务配置问题。Watcher能够为渗透测试人员提供热点漏洞检测,

包括Xss,cookies,comments,http响应头,SSL,Flash, Silverlight,referrer泄露,信息泄露和Unicode等可能存在的问题。

Watcher更新至1.5.2版

B)x5s - Automated XSS Security Testing Assistant

x5s aims to assist penetration testers in finding cross-site scripting vulnerabilities. It's main goal is to help you identify the hotspots where XSS

might occur by:

  • Detecting where safe encodings were not applied to emitted user-inputs

  • Detecting where Unicode character transformations might bypass security filters

  • Detecting where non-shortest UTF-8 encodings might bypass security filters

Learn more...

x5s 发布-自动化的XSS安全性辅助测试工具

x5s是Fiddler的一个插件 ,旨在帮助渗透测试人员发现跨站脚本漏洞,它的主要目标是帮助你找出可能出现的跨站脚本的关键点。

关键点包括:

检测对于用户提交的输入安全编码不适用的情况检测Unicode 字符转换可能绕过安全过滤系统的情况。

检测non-shortest UTF-8 编码可能绕过安全过滤系统的情况

C)ccXSScan

ccXSScan看这篇文章:

ccXSScan for Fiddler--会浏览网页就会挖XSS!!!

4.2 Installation and quickstart

注意:

1.X5S安装需要dotNetFx35setup.exe Microsoft .NET Framework 3.5 Setup(别下载到了Microsoft .NET Framework 3.5 sp1)

2.都是把.dll插件放到Fiddler2安装目录的Scripts文件夹当中(如:D:\Program Files\Fiddler2\Scripts),重新启动Fiddler2即可使用

如遇卸载,则到Scripts文件夹下Del .dll 或重新安装软件有选项修复还是移除。

4.3 Use

注意:

1、使用环节参考具体的说明文档documentation

Watcher  http://websecuritytool.codeplex.com/documentation

X5s        http://xss.codeplex.com/documentation

囧 翻译不是很精准,还是各自看吧,你比我看得懂。第一个汉化的“吃螃蟹人就是你,发表出来吧”

2.提醒 在Enable 设置好后,Test Case Configuration下的Character 列务必勾选呀!

4.5 测试使用结果

测试结果,都能找到XSS,但总感觉不是那么爽,费些周折,你自己试试咯。

A)Watcher

B)X5S

C)ccXSScan

只到了step1,完全不知道怎么将检测分析后的URL,跳到step2.晕+_+

《ccXSScan 只要会浏览网页,就会挖XSS漏洞!!! 》图2--->图3

大大知道的tell me!

4.6 Error  端口重用

你改了Fiddler的端口port,还不一定能用!so明确的解决方法步骤,暂时还没有...

五、总结

【Luolired】

1.比较欣赏Watcher 它的Result安全等级分类信息不错!和DOMinator 具体细节描述有得一拼。源于有OWASP 漏洞细节支持。

2.还是商业的DOMinator 符合我的口味,浏览网页就能实时同步检测出XSS!上面的XSS自动化检测工具,只是抛砖引玉,初识。

都还不成熟,只为进一步推动国人在XSS自动化检测挖掘,OWASP工具教程细节汉化多多地来。

DOM XSS Scanner - Find DOM based XSS Security Vulnerabilities

  1. https://github.com/yaph/domxssscanner

  2. http://code.google.com/p/ra2-dom-xss-scanner/

  3. http://code.google.com/p/domxsswiki/wiki/Introduction

XSS 自动化检测 Fiddler Watcher & x5s & ccXSScan 初识的更多相关文章

  1. XSS自动化检测 Fiddler Watcher & x5s & ccXSScan 初识

    一.标题:XSS 自动化检测 Fiddler Watcher & x5s  & ccXSScan 初识     automated XSS testing assistant 二.引言 ...

  2. 使用Fiddler的X5S插件查找XSS漏洞

    OWASP top 10的安全威胁中的CrossSite Scripting(跨站脚本攻击),允许攻击者通过浏览器往网站注入恶意脚本.这种漏洞经常出现在web应用中需要用户输入的地方,如果网站有XSS ...

  3. 快速、直接的XSS漏洞检测爬虫 – XSScrapy

    XSScrapy是一个快速.直接的XSS漏洞检测爬虫,你只需要一个URL,它便可以帮助你发现XSS跨站脚本漏洞. XSScrapy的XSS漏洞攻击测试向量将会覆盖 Http头中的Referer字段 U ...

  4. XSS动态检测

    0x00 起 前一段时间,因为工作原因接触到XSS漏洞检测.前人留下的锅,是采用pyqt webkit来解析网页内容.作为Python webkit框架,相比于PhantomJS,pyqt在捕获错误, ...

  5. 基于Python实现的死链接自动化检测工具

    基于Python实现的死链接自动化检测工具   by:授客 QQ:1033553122 测试环境: win7 python 3.3.2 chardet 2.3.0 脚本作用: 检测系统中访问异常(请求 ...

  6. CSRF自动化检测

    CSRF自动化检测: 这里主要是对POST型form表单的检测 1. 根据URL获取form表单组成的数组 2. 遍历表单数组,对比不设置cookie与设置了cookie两种情况下的表单是否还存在,如 ...

  7. 移动APP漏洞自动化检测平台建设

    移动APP漏洞自动化检测平台建设   前言:本文是<移动APP客户端安全笔记>系列原创文章中的第一篇,主要讲的是企业移动APP自动化漏洞检测平台建设,移动APP漏洞检测发展史与前沿技术,A ...

  8. LCD显示器缺陷自动化检测方案

    很牛的测试 参考: 1.https://www.radiantvisionsystems.com/ 2.https://www.radiantvisionsystems.com/node/275 LC ...

  9. XSSer:自动化XSS漏洞检测及利用工具

    转载自FreeBuf.COM XSS是一种非常常见的漏洞类型,它的影响非常的广泛并且很容易的就能被检测到. 攻击者可以在未经验证的情况下,将不受信任的JavaScript片段插入到你的应用程序中,然后 ...

随机推荐

  1. python 反模式

    不使用 pythonic 的循环: l = [1,2,3] #Bad for i in range(0,len(list)): le = l[i] print(i,le) #Good for i,le ...

  2. 2015老男孩Python培训第八期视频教程

    2015老男孩Python培训第八期视频教程,希望您通过本教程的学习,能学会常用方法和技巧.教程从基础知识开始讲解一直到后期的案例实战,完全零基础学习,从初学者的角度探讨分析问题,循序渐进由易到难,确 ...

  3. Linux及安全——Linux基础实践

    Linux及安全——Linux基础实践 一.实践一:掌握软件源的维护方法,配置系统使用教育网内的软件源镜像.掌握通过软件源来查找,安装,卸载,更新软件的方法. 1.软件源的维护方法 Ubuntu的软件 ...

  4. 给ubuntu开通FTP功能

    一.安装vsftp安装: sudo apt-get install vsftpd 二.启动.停止.重启vsftp 启动vsftp:sudo service vsftpd start 三.创建ftp用户 ...

  5. 【MPI学习5】MPI并行程序设计模式:组通信MPI程序设计

    相关章节:第13章组通信MPI程序设计. MPI组通信与点到点通信的一个重要区别就是:组通信需要特定组内所有成员参与,而点对点通信只涉及到发送方和接收方. 由于需要组内所有成员参与,因此也是一种比较复 ...

  6. Android中的Intent详解

    前言: 每个应用程序都有若干个Activity组成,每一个Activity都是一个应用程序与用户进行交互的窗口,呈现不同的交互界面.因为每一个Acticity的任务不一样,所以经常互在各个Activi ...

  7. [转]简单识别 RESTful 接口

         本文描述了识别一个接口是否真的是 RESTful 接口的基本方法.符合 REST 架构风格的接口,称为 RESTful 接口.本文不打算从架构风格的推导方面描述,而是从 HTTP 标准的方面 ...

  8. 【niubi-job——一个分布式的任务调度框架】----FAQ文档

    引言 本文为niubi-job的FAQ文档,该文档会无限更新.如果您在这里没有找到您想要的答案,请把问题提交到这里. FAQ 1.为什么我的所有任务总是运行在同一个节点上,而没有平均分配到所有节点上? ...

  9. Javascript基础系列之(三)数据类型 (类型转化)

    所有语言都有类型转化的能力,javascript也不例外,它也为开发者提供了大量的类型转化访法,通过全局函数,可以实现更为复杂的数据类型. var a = 3; var b = a + 3; var ...

  10. java和linux的编码

    最近要使用中科院计算所的关键词工具NLPIR,用java调用,在windows下测试后放到linux下跑,就发现会有乱码. windows下默认是GBK,linux下是utf-8,因此在意料之中(尽管 ...