什么是 “ NoXss”

NoXss是：

• “NoXss”是为Tiamat的Web扫描器的插件，它是功能强大的xss扫描器。它确实更快，适合扫描大数据。它仅适用于5个基于参数的有效负载来查找xss风险，而不是模糊测试。模糊测试是缓慢而盲目的。在此工具中使用了Phantomjs和Chrome。这意味着它支持基于DOM的xss。我们可以打开4个或更多浏览器来协同工作，意味着速度更快。

NoXss工作原理:

• NoXss主要是通过“符号闭合”来检测xss隐患，使用基于“反射位置”的payload进行探测（目前一共8个），相比fuzz减少了很多盲目性。比如当请求参数的值出现在response的java代码段中，并且是以双引号的形式进行闭合，那么NoXss将使用xssjs”;这个payload；如果是以单引号的形式进行闭合，则会使用xssjs’;进行测试。