@不喜丶不悲
3年前 提问
1个回答
xss漏洞扫描工具怎么判断有没有漏洞的
GQQQy
3年前
通过测试发现XSS漏洞扫描器一般会检测网页数据包中的响应头中的“content-type: text/html”中是否有“<script>alert(1)</script>”,如果有这个字段扫描器就是将其判断存在XSS漏洞,但是这种情况会存在很大的漏洞也就是扫描会出现错误,扫描不精确,所以使用XSS漏洞扫描器扫描完成后需要进行手工验证来进一步判断。
以下是几款常用的XSS漏洞扫描工具:
XSSer自动化XSS漏洞检测及利用工具
同时使用GET和POST方法注入;
包括各种过滤器和绕过技术;
可以与命令行和GUI一起使用;
将提供攻击的详细统计数据。
XSpear一款基于RubyGems的XSS漏洞扫描器
基于模式匹配的XSS扫描
alertconfirmprompt在无痕浏览器上检测事件(使用Selenium)
XSS保护绕过和反射参数的测试请求/响应
测试BlindXSS(使用XSSHunter,ezXSS,HBXSS,Etc所有urlbase盲测…)
动态/静态分析
支持自定义回调代码以测试各种攻击媒介
支持配置文件
BruteXSS是一个非常强大和快速的跨站点脚本暴力注入
XSS暴力破解
XSS扫描
支持GET/POST请求
自定义单词可以包含
人性化的UI
xssfork是一款新一代xss漏洞探测工具,其开发的目的是帮助安全从业者高效率的检测xss安全漏洞
xssfork与传统检测工具相比xssfork使用的是webkit内核的浏览器phantomjs,其可以很好的模拟浏览器。工具分为两个部分,xssfork和xssforkapi,其中xssfork在对网站fuzzxss的时候会调用比较多的payload。