Как проверить XSS уязвимость?

Какими программами вы пользуетесь?

2 симпатии

Использую XSStrike.

  1. Скачайте файл архива.
  2. Распакуйте его из из папки:
pip3 install pygame
  1. Установите необходимые библиотеки:
pip3 install -r requirements.txt

Все готово.

Теперь сделайте, например, такой запрос:

python xsstrike.py -u "http://127.0.0.1/index.php?page=4" --blind

Если все хорошо, то вы получите отчет вида:

 XSStrike v3.1.4
 Checking for DOM vulnerabilities
 WAF Status: Offline
 Testing parameter: page
 No reflection found
 Testing parameter: s
 No reflection found

Можно запустить обход всего сайта

python xsstrike.py -u "http://127.0.0.1" --blind --crawl -l 100

Где -l 100 - количество страниц обхода.

XSStrike очень мощная утилита, можно прочитать про дополнительные возможности её в сети, если есть желание.

3 симпатии

Open Web Application Security Project (OWASP) — это открытый проект обеспечения безопасности веб-приложений. А там продукт - OWASP Zed Attack Proxy (ZAP)

OWASP Zed Attack Proxy (ZAP) является одним из самых популярных бесплатных инструментов безопасности в мире и активно поддерживается сотнями международных добровольцев. Это может помочь вам автоматически находить уязвимости безопасности в ваших веб-приложениях во время разработки и тестирования ваших приложений. Его также отличный инструмент для опытных пентестеров, чтобы использовать для ручного тестирования безопасности.

Скачать: OWASP Zed Attack Proxy Project

4 симпатии