OWASP Xenotix XSS Exploit Framework是一个高效的跨站脚本漏洞(XSS)检测和攻击测试框架。它通过特有的三大浏览器引擎(包括Trident, WebKit和Gecko)进行安全扫描检测,并且其号称拥有全世界第二大的XSS测试Payload,同时具有WAF绕过能力。

扫描模块

Manual Mode Scanner

Auto Mode Scanner

DOM Scanner

Multiple Parameter Scanner

POST Request Scanner

Header Scanner

Fuzzer

Hidden Parameter Detector

信息采集模块

Victim Fingerprinting

Browser Fingerprinting

Browser Features Detector

Ping Scan

Port Scan

Internal Network Scan

攻击测试模块

Send Message

Cookie Thief

Phisher

Tabnabbing

Keylogger

HTML5 DDoSer

Executable Drive By

JavaScript Shell

Reverse HTTP WebShell

Drive-By Reverse Shell

Metasploit Browser Exploit

Firefox Reverse Shell Addon (Persistent)

Firefox Session Stealer Addon (Persistent)

Firefox Keylogger Addon (Persistent)

Firefox DDoSer Addon (Persistent)

Firefox Linux Credential File Stealer Addon (Persistent)

Firefox Download and Execute Addon (Persistent)

附加工具

WebKit Developer Tools

Payload Encoder

下载地址

https://www.owasp.org/index.php?title=OWASP_Xenotix_XSS_Exploit_Framework&setlang=es

二:使用Xenotix_XSS框架进行自动化安全测试

配置服务器:

点击"setting—>configure server—>start",服务器就配置完成。

扫描测试

scanner里面的"get request manualmode"是手动测试,即每次点击start的时候,只会执行一个payload,而"get request auto mode"是自动测试,设置时间间隔,就可以自动扫描。每次扫描的结果会在下面的三个浏览器中显示结果。

URL填写要测试的页面,parmeter填写"参数=",测试时完整的URL可以在Browse处看到。

手动测试:

自动测试:

自动模式,在Inteval中设置时间间隔,然后点击start开始测试,可以点击pause暂停

多参数测试multiple parameter scanner:

点击"get parameters"会自动识别出URL中的多个参数,设置时间间隔后,点击start会逐个对每次参数进行测试。

URL fuzzer:

将需要fuzz的参数值修改为" [X]",然后工具会对设置了[X]的参数进行测试

POST request scanner:

URL填写要测试的页面

Parameters填写POST的参数,参数值用[X]代替,response会在页面和postresponse body里面显示。

request repeater:

repeater里面支持get、post和trace方法,同样的,将HOST填写地址,path填写路径,参数值用[X]代替,start开始扫描

DOM SCAN:

个人写了几个DOM脚本,结果都没扫描到。。。没法截图了

隐藏表单检测:hidden parameter detector

很明显,就是检测html中的隐藏表单。

在tool下面的encode/decode工具也是比较常用的,不过编码不是太多:

OWASP出品:Xenotix XSS漏洞测试框架及简单使用的更多相关文章

  1. Xss漏洞原理分析及简单的讲解

    感觉百度百科 针对XSS的讲解,挺不错的,转载一下~   XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XS ...

  2. 【IDEA】单元测试:项目中引入JUnit测试框架+Mock简单了解

    一.Junit 使用和说明: 参考:单元测试第三弹--使用JUnit进行单元测试-HollisChuang's Blog http://www.hollischuang.com/archives/17 ...

  3. XSS Reflected 测试

    由于最近在做XSS方面的测试,于是找到了DVWA平台进行实验测试,通过这三篇文章让大家了解XSS方面的大概内容,这三篇文章只是把你领进XSS的大门,要想真正深入的学习XSS,你还需要去学习很多东西来提 ...

  4. XSS漏洞解析(二)

    上篇我们讲了XSS的一些相关的内容,这篇我们就直接上代码demo解决实际问题吧. 主要的问题是xssfilter的编写,我们直接去网上找一下框架,一般有js,php,java等语言都有相关的XSS的相 ...

  5. XSS 漏洞介绍

    概念: XSS 攻击:跨站脚本攻击 (Cross Site Scripting),为不和层叠样式表 (Cascading Style Sheets, CSS) 的缩写混淆.故将跨站脚本攻击缩写为 XS ...

  6. Struts网站基于Filter的XSS漏洞修复

    下面的代码只支持struts2框架中的xss漏洞 第一步,创建过滤器XssFilter : package com.ulic.ulcif.filter; import java.io.IOExcept ...

  7. XSS漏洞攻击原理与解决办法

    转自:http://www.frostsky.com/2011/10/xss-hack/ 对于的用户输入中出现XSS漏洞的问题,主要是由于开发人员对XSS了解不足,安全的意识不够造成的.现在让我们来普 ...

  8. javascript测试框架mocha

    node测试框架mocha 简单.灵活.有趣,mocha是一个功能丰富的javascript测试框架,运行在node和浏览器中,使异步测试变得更加简单有趣.http://mochajs.org/ 安装 ...

  9. 从零学习安全测试,从XSS漏洞攻击和防御开始

    WeTest 导读 本篇包含了XSS漏洞攻击及防御详细介绍,包括漏洞基础.XSS基础.编码基础.XSS Payload.XSS攻击防御. 第一部分:漏洞攻防基础知识   XSS属于漏洞攻防,我们要研究 ...

随机推荐

  1. JBoss7.1.1远程无法访问

    一般情况下在JBoss7.1.1.Final版本中配置standalone/configuration/standalone.xml<interfaces>里面name为public的&l ...

  2. 快速部署简单私有云CloudStack(下)

    微信公众号:wsy535068621 继续上边的 会给出具体配置

  3. step3: 创建jobbole爬虫

    scrapy startproject Redbacktestcd Redbacktest 创建jobbole爬虫 scrapy genspider jobbole2 blog.jobbole.com ...

  4. vue加载Element ui地址省市区插件-- element-china-area-data

    1.安装 npm install element-china-area-data -S 2.使用(引入) import { provinceAndCityData, regionData, provi ...

  5. hexo+github搭建博客跳坑

    hexo+GitHub搭建博客过程中,hexo安装成功,可以启动和运行,但是访问localhost:4000却无法访问,弄了半天,最后发现是福昕阅读器占用了4000端口 解决办法: 采用命令hexo ...

  6. 记一次使用cmd执行java文件遇到的坑...包括“使用java命令运行class文件提示“错误:找不到或无法加载主类“的问题”

    今天写了一个java文件,类似聊天软件的东西.在eclipse里输入输出显得没感觉,于是乎就准备在cmd里输入和显示输出.如下图,我准备运行的是ChatDemo.class文件.路径是:D:\work ...

  7. MySql数据快速导入

    使用LOAD DATA INFILE 插入速度可以提升很多 左侧是直接导入100W花费135s ,Dos界面通过Load方式导入450W只用时23s,性能一下子显示出来了.

  8. Spring_Spring与IoC_基于注解的DI

    一.基本注解的使用 (1)导入AOP的Jar包 (2) 与set()无关 二.组件扫描器的base-package 三.@Component相关注解 四.@Scope 五.域属性的注入 (1)byTy ...

  9. POJ 2923(状态集合背包)

    http://www.cnblogs.com/kuangbin/archive/2012/09/14/2685430.html #include <iostream> #include & ...

  10. 第八章.Java集合

    Java集合类是一种特别有用的工具类,可用于存储数量不等的对象.Java集合大致可分为Set.List.Queue和Map四种体系 Set代表无序.不可重复的集合 List代表有序.重复的集合 Map ...