OWASP Xenotix XSS Exploit Framework是一个高效的跨站脚本漏洞(XSS)检测和攻击测试框架。它通过特有的三大浏览器引擎(包括Trident, WebKit和Gecko)进行安全扫描检测,并且其号称拥有全世界第二大的XSS测试Payload,同时具有WAF绕过能力。

扫描模块

Manual Mode Scanner

Auto Mode Scanner

DOM Scanner

Multiple Parameter Scanner

POST Request Scanner

Header Scanner

Fuzzer

Hidden Parameter Detector

信息采集模块

Victim Fingerprinting

Browser Fingerprinting

Browser Features Detector

Ping Scan

Port Scan

Internal Network Scan

攻击测试模块

Send Message

Cookie Thief

Phisher

Tabnabbing

Keylogger

HTML5 DDoSer

Executable Drive By

JavaScript Shell

Reverse HTTP WebShell

Drive-By Reverse Shell

Metasploit Browser Exploit

Firefox Reverse Shell Addon (Persistent)

Firefox Session Stealer Addon (Persistent)

Firefox Keylogger Addon (Persistent)

Firefox DDoSer Addon (Persistent)

Firefox Linux Credential File Stealer Addon (Persistent)

Firefox Download and Execute Addon (Persistent)

附加工具

WebKit Developer Tools

Payload Encoder

下载地址

https://www.owasp.org/index.php?title=OWASP_Xenotix_XSS_Exploit_Framework&setlang=es

二:使用Xenotix_XSS框架进行自动化安全测试

配置服务器:

点击"setting—>configure server—>start",服务器就配置完成。

扫描测试

scanner里面的"get request manualmode"是手动测试,即每次点击start的时候,只会执行一个payload,而"get request auto mode"是自动测试,设置时间间隔,就可以自动扫描。每次扫描的结果会在下面的三个浏览器中显示结果。

URL填写要测试的页面,parmeter填写"参数=",测试时完整的URL可以在Browse处看到。

手动测试:

自动测试:

自动模式,在Inteval中设置时间间隔,然后点击start开始测试,可以点击pause暂停

多参数测试multiple parameter scanner:

点击"get parameters"会自动识别出URL中的多个参数,设置时间间隔后,点击start会逐个对每次参数进行测试。

URL fuzzer:

将需要fuzz的参数值修改为" [X]",然后工具会对设置了[X]的参数进行测试

POST request scanner:

URL填写要测试的页面

Parameters填写POST的参数,参数值用[X]代替,response会在页面和postresponse body里面显示。

request repeater:

repeater里面支持get、post和trace方法,同样的,将HOST填写地址,path填写路径,参数值用[X]代替,start开始扫描

DOM SCAN:

个人写了几个DOM脚本,结果都没扫描到。。。没法截图了

隐藏表单检测:hidden parameter detector

很明显,就是检测html中的隐藏表单。

在tool下面的encode/decode工具也是比较常用的,不过编码不是太多:

OWASP出品:Xenotix XSS漏洞测试框架及简单使用的更多相关文章

  1. Xss漏洞原理分析及简单的讲解

    感觉百度百科 针对XSS的讲解,挺不错的,转载一下~   XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XS ...

  2. 【IDEA】单元测试:项目中引入JUnit测试框架+Mock简单了解

    一.Junit 使用和说明: 参考:单元测试第三弹--使用JUnit进行单元测试-HollisChuang's Blog http://www.hollischuang.com/archives/17 ...

  3. XSS Reflected 测试

    由于最近在做XSS方面的测试,于是找到了DVWA平台进行实验测试,通过这三篇文章让大家了解XSS方面的大概内容,这三篇文章只是把你领进XSS的大门,要想真正深入的学习XSS,你还需要去学习很多东西来提 ...

  4. XSS漏洞解析(二)

    上篇我们讲了XSS的一些相关的内容,这篇我们就直接上代码demo解决实际问题吧. 主要的问题是xssfilter的编写,我们直接去网上找一下框架,一般有js,php,java等语言都有相关的XSS的相 ...

  5. XSS 漏洞介绍

    概念: XSS 攻击:跨站脚本攻击 (Cross Site Scripting),为不和层叠样式表 (Cascading Style Sheets, CSS) 的缩写混淆.故将跨站脚本攻击缩写为 XS ...

  6. Struts网站基于Filter的XSS漏洞修复

    下面的代码只支持struts2框架中的xss漏洞 第一步,创建过滤器XssFilter : package com.ulic.ulcif.filter; import java.io.IOExcept ...

  7. XSS漏洞攻击原理与解决办法

    转自:http://www.frostsky.com/2011/10/xss-hack/ 对于的用户输入中出现XSS漏洞的问题,主要是由于开发人员对XSS了解不足,安全的意识不够造成的.现在让我们来普 ...

  8. javascript测试框架mocha

    node测试框架mocha 简单.灵活.有趣,mocha是一个功能丰富的javascript测试框架,运行在node和浏览器中,使异步测试变得更加简单有趣.http://mochajs.org/ 安装 ...

  9. 从零学习安全测试,从XSS漏洞攻击和防御开始

    WeTest 导读 本篇包含了XSS漏洞攻击及防御详细介绍,包括漏洞基础.XSS基础.编码基础.XSS Payload.XSS攻击防御. 第一部分:漏洞攻防基础知识   XSS属于漏洞攻防,我们要研究 ...

随机推荐

  1. Principal Component Analysis(PCA)

    Principal Component Analysis(PCA) 概念 去中心化(零均值化): 将输入的特征减去特征的均值, 相当于特征进行了平移, \[x_j - \bar x_j\] 归一化(标 ...

  2. jQuery 小练习-拖拉画面

    <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8&quo ...

  3. 使用C#委托来实现异步编程

    最近在我参与的几个.Net项目中都有用到异步编程,作为一名.Net小白,很有必要好好地学习一下异步编程. 什么是异步编程 异步编程指的就是不用阻塞当前线程来等待任务的完成,而是将任务扔到线程池中去执行 ...

  4. C3P0数据库连接池的java实现

    1.配置准备 导入jar包 c3p0-0.9.2-pre1.jar mchange-commons-0.2.jar 数据库驱动包,如:mysql-connector-java-5.1.28-bin.j ...

  5. 修改npm包管理器的registry为淘宝镜像(npm.taobao.org)<转>

    起因 安装了node,安装了npm之后,官方的源实在是 太慢了! 看了看淘宝的npm镜像,  http://npm.taobao.org/ 竟然说让我再下载一个cnpm,要不然就每次都得install ...

  6. aspose.word 读取word段落内容

    注:转载请标明文章原始出处及作者信息 aspose.word 插件下载 链接: http://pan.baidu.com/s/1qXIgOXY 密码: wsj2 使用原因:无需安装office,无兼容 ...

  7. WPF画箭头

    简介 参考Using WPF to Visualize a Graph with Circular Dependencies的基础上写了一个WPF画箭头的库. 效果图如下: 使用的XAML代码如下: ...

  8. zookeeper学习实践1-实现分布式锁

    引言 ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件.它是一个为分布式应用提供一致性服务的软件,提 ...

  9. 给div加上padding和border,如何不让div整体改变

    最近要入门H5,遇到很多困惑,所以,每解决一个,我就要写在博客里,以防忘记! 给div加上padding和border,如何不让div整体改变? 如果想要实现这样的效果,只需要在这个div块中写入 b ...

  10. COGS2294 释迦

    传送门 就是传说中的任意模数卷积嘛……有三模数NTT和拆系数FFT等做法,我比较懒不想动脑子,就用了三模数NTT的做法…… 卷积之后每个数可以达到$10^{23}$左右的级别,直接long doubl ...