12

我最近在一个将 XSS 攻击直接写入数据库的工具上发现了这个博客条目。它看起来是一种非常好的方法来扫描应用程序以查找我的应用程序中的弱点。

我尝试在Mono上运行它,因为我的开发平台是 Linux。System.ArgumentNullException不幸的是,它在内心深处崩溃了Microsoft.Practices.EnterpriseLibrary,我似乎无法找到有关该软件的足够信息(它似乎是一个单一的项目,没有主页,也没有进一步的开发)。

有人知道类似的工具吗?最好应该是:

  • 跨平台(Java、Python、.NET/Mono,甚至跨平台 C 也可以)
  • 开源(我真的很喜欢能够审核我的安全工具)
  • 能够与广泛的数据库产品交谈(最重要的数据库产品:MySQL、Oracle、SQL Server ......)

编辑:我想澄清我的目标:我想要一个直接将成功的 XSS/SQL 注入攻击的结果写入数据库的工具。这个想法是我想检查我的应用程序中的每个地方是否正确输出编码。首先检测并避免数据到达那里是完全不同的事情(当我显示由第三方应用程序写入数据库的数据时可能无法实现)。

编辑 2:我上面链接到的工具的作者 Corneliu Tusnea 已经在 codeplex 上作为免费软件发布了该工具:http: //xssattack.codeplex.com/

4

5 回答 5

2

我认为 metasploit 具有您正在寻找的大部分属性。它甚至可能是唯一一个拥有您指定的所有内容的,因为我能想到的所有其他内容都是封闭源代码。有一些现有的模块可以处理 XSS,尤其是您应该看一看的模块:HTTP Microsoft SQL 注入表 XSS 感染。从那个模块的声音来看,它完全可以做你想做的事情。我相信该框架是用 Ruby 编写的,并且应该很容易使用您可能需要/想要做的自己的模块进行扩展。我希望这会有所帮助。

http://www.metasploit.com/

于 2010-03-30T06:27:04.250 回答
2

不确定这是否是您所追求的,它是 HTTP/HTTPS 的参数模糊器。

我已经有一段时间没有使用它了,但是 IIRC 它充当了您和相关 Web 应用程序之间的代理——并且会在判断响应是否“有趣”之前将 XSS/SQL 注入攻击字符串插入到任何输入字段中,因此应用程序是否易受攻击。

http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project

根据您的问题,我猜这是您正在寻找的一种模糊器,专门用于 XSS 和 Web 应用程序;如果我是对的 - 那么这可能会帮助你!

它是“jah”将您链接到上面的开放 Web 应用程序安全项目 (OWASP) 的一部分。

于 2010-03-29T02:08:07.153 回答
1

我的一个朋友一直说,php-ids很不错。我自己没有尝试过,但听起来好像可以大致符合您的描述:

  • 开源(LGPL),
  • 跨平台 - PHP 不在您的列表中,但也许没关系?
  • 检测“各种 XSS、SQL 注入、标头注入、目录遍历、RFE/LFI、DoS 和 LDAP 攻击”(来自常见问题解答)
  • 记录到数据库。
于 2010-03-26T20:58:25.080 回答
1

这里有一些 Firefox 插件可以进行 XSS 测试:http: //labs.securitycompass.com/index.php/exploit-me/

于 2010-03-25T11:56:27.170 回答
1

我不认为有这样的工具,除了你指给我们的那个。我认为这是有充分理由的:这可能不是测试每个输出是否针对适用的上下文进行正确编码的最佳方法。

通过阅读该工具,似乎前提是将随机 xss 向量插入数据库,然后浏览应用程序以查看这些向量中是否有任何成功。至少可以说,这是一种偶然发现的方法。

我认为,一个更好的主意是进行代码审查。

您可能会发现查看http://owasp.org上提供的一些资源会很有帮助- 即应用程序安全验证标准 (ASVS)、测试指南和代码审查指南。

于 2010-03-28T17:14:12.900 回答