Ratproxy -- Google 的 XSS 检测工具

最新推荐文章于 2024-08-07 11:17:41 发布
最新推荐文章于 2024-08-07 11:17:41 发布
阅读量109 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34384681/article/details/85181723
版权
跨站脚本***(XSS, Cross Site Scripting) 可能是目前所有网站都比较头疼的问题,Google 也不例外。这次 Google 又做了一次雷锋,把内部用来审计 XSS 的工具开源了: ratproxy
Google_ratProxy.png
Ratproxy 工作流程:
  • 1) 运行脚本后,会在本地启动一个代理服务器,默认端口是 8080 ;
  • 2) 浏览器设置这个地址 ([url]http://localhost:8080[/url])为 代理地址 ;
  • 3) 浏览要测试的 Web 页面,进行实际登录,填写表单等操作(这些动作会被代理服务器捕捉并做点"手脚"发给待检测的页面),ratproxy 会在后台记录相关的 Log ;
  • 4) 用 ratproxy 提供的工具解析 Log 并输出 HTML 进行分析;
  • 5) 修正比较严重的问题后,跳回到第一步,直到评估通过为止。
在我的 Ubuntu 下测试了一下,需要说一下的是,本地系统需要安装 libssl-dev 与 openssl 。 
$ sudo apt-get install libssl-dev openssl 
$ cd ratproxy ;  make
然后就可以提交类似: 
$ ./ratproxy -v . -w foo.log -d foo.com -lfscm
然后,人肉点击相关的页面进行测试了。这个工具的设计思路还是很值得借鉴的,推荐对安全感兴趣的同学读一下源代码。
ratproxy 的作者是 MIchal Zalewski,一个波兰的白帽子***。他的 个人主页上能找到更多有趣的工具。
weixin_34384681
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络安全最新网络安全工具大合集_remnux部署
2301_79985178的博客
05-04 644
Google开发的内存分析框架.– 提取易失性内存(RAM)中的样本.– 允许你从安卓手机中提取短信记录,通话记录,照片,浏览历史,以及密码。–一个网络取证分析框架.–一个网络嗅探工具能够记录所有的DNS响应和被动DNS– 十六进制编辑工具, 能够修改任意大小的硬盘二进制数据,内存,文件句柄– 一个已知漏洞数据库的集合支持CVEs的扩展信息。– 提供简化的便携的底层网络路由接口,包括网络地址操作,内核arp高速缓存,路由表查询和操作,网络防火墙,网络接口查询操作,IP隧道,二进制IP包和以太网传送框架。
网络安全学习中的工具
gugonggugong的博客
12-06 3141
1> Nmap Nmap,也就是Network Mapper,最早是Linux下的网络扫描和嗅探工具包。 系统管理员可以利用nmap来探测工作环境中未经批准使用的服务器,但是黑客会利用nmap来搜集目标电脑的网络设定,从而计划攻击的方法。 其基本功能有三个,一是探测一组主机是否在线;其次是扫描 主机端口,嗅探所提供的网络服务;还可以推断主机所用的操作系统 。 2> P0f p0f是一个纯粹的被动指纹识别工具,它在不干涉双方通信的情...
XSS漏洞检测工具
06-11
XSS漏洞检测工具,Linux下安装使用,很简单 Examples of usage: ============================== * Simple injection from URL: $ python XSSer.py -u "http://host.com" ------------------- * Simple injection from File, with tor proxy and spoofing HTTP Referer headers: $ python XSSer.py -i "file.txt" --proxy "http://127.0.0.1:8118" --referer "666.666.666.666" ------------------- * Multiple injections from URL, with automatic payloading, using tor proxy, injecting on payloads character encoding in "Hexadecimal", with verbose output and saving results to file (XSSlist.dat): $ python XSSer.py -u "http://host.com" --proxy "http://127.0.0.1:8118" --auto --Hex --verbose -w ------------------- * Multiple injections from URL, with automatic payloading, using caracter encoding mutations (first, change payload to hexadecimal; second, change to StringFromCharCode the first encoding; third, reencode to Hexadecimal the second encoding), with HTTP User-Agent spoofed, changing timeout to "20" and using multithreads (5 threads): $ python XSSer.py -u "http://host.com" --auto --Cem "Hex,Str,Hex" --user-agent "XSSer!!" --timeout "20" --threads "5"
TamperIE - 一个小巧的XSS漏洞检测辅助工具
热门推荐
软件质量优化
01-21 1万+
有些开发人员喜欢在客户端进行用户输入的检查,这种方法其实是不安全的,因为跨站脚本攻击可以绕过客户端输入界面,利用一些工具来修改提交到服务器的字符串,从而达到跨站脚本攻击的目的。TamperIE就是此类的小工具之一(www.bayden.com)TamperIE安装后以插件的方式加载到IE浏览器中,监视IE浏览器与服务器之间的HTTP通信,截获提交到服务器的HTTP语句,修改其中的数
推荐好用的XSS漏洞扫描利用工具
最新发布
m0_71744044的博客
08-07 906
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
RatproxyGoogleXSS 检测工具
Fenng's Blog
07-07 295

 跨站脚本攻击(XSS, Cross Site Scripting) 可能是目前所有网站都比较头疼的问题,Google 也不例外。这次 Google 又做了一次雷锋,把内部用来审计 XSS 的工具开源了:ratproxyRatproxy 工作流程: 1) 运行脚本后,会在本地启动一个代理服务器,默认端口是 8080 ; 2) 浏览器设置这个地址 (http...
ratproxy - passive web application security assessment tool
05-01 124
ratproxy - passive web application security assessment tool RatproxyDoc - ratproxy - Project documentation - passive web application ...
RatProxy
weixin_30876945的博客
04-21 113
Ratproxy http://book.51cto.com/art/201204/327459.htm http://book.51cto.com/art/201212/374023.htm http://blog.chinaunix.net/uid-16974460-id-3760917.html http://www.cnblogs.com/lwme/archive/2010/11/...
Google_ratproxy-1.50.tar.gz_Google Ratprox_安全工具
09-23
**Google Ratproxy 1.50 - 一个强大的安全检测工具** Google Ratproxy是一款由Google开发的内部安全检测工具,其主要目的是为了帮助网站开发者和安全专家进行渗透测试和漏洞评估。Ratproxy的设计理念是提供一种非...
XSS检测防范技术与实例研究.pdf
09-11
2. 半自动检测:利用工具如Google搜索可能存在的漏洞,或者使用XSS扫描器。 3. 全自动检测:使用静态和动态分析工具,如WebScrab和Ratproxy,它们能够自动化地扫描并报告潜在的XSS问题。 防范XSS攻击的关键在于...
网络安全工具大合集_remnux部署
2401_84263434的博客
04-29 947
它能够在预定义的环境中启动进程(限定内存,环境变量,重定向输出流,等等),开启网络客户端和服务器,以及创建损坏的文件.它的特征包含,嗅探活动链接,内容过滤,和许多其他有趣的技巧 . 它支持许多协议的主动和被动解析,并且包含许多网络和主机分析特性.– 一个故意的不安全网站应用,用于安全培训,完全使用Javascript开发,包含所有的OWASP Top 10漏洞以及其他的高危漏洞。– 一个强大的,灵活的,方便的工具用于多种类型的中间人攻击,篡改HTTP,HTTPS,和TCP实时流量,嗅探证书的等敏感信息。
XSS漏洞测试工具
02-10
XSS是一种非常常见的漏洞类型,它的影响非常的广泛并且很容易的就能被检测到。 攻击者可以在未经验证的情况下,将不受信任的JavaScript片段插入到你的应用程序中,然后这个JavaScript将被访问目标站点的受害者执行
xss漏洞扫描工具
03-12
它可以分析使用HTTP和HTTPS协议进行通信的应用程序,可以用最简单地形式记录它观察的会话,并允许操作人员以各种方 式观查会话。如果你需要观察一个基于HTTP(S)应用程序的运行状态,可以满足你这种需要。不管是帮助开发人员调试其它方面 的难题,还是允许安全专业人员识别漏洞,它都是一款不错的工具。
XSSer:自动化XSS漏洞检测及利用工具
09-04
XSSer:自动化XSS漏洞检测及利用工具 跨站点“Scripter”(又名XSSer)是一个自动化框架,用于检测、利用以及报告基于Web应用程序 中的XSS漏洞。 它包含多个尝试绕过某些过滤器的选项,以及各种特殊的代码注入技术。
xss与cookie漏洞验证工具
08-25
xss与cookie漏洞验证工具
Ratproxy
EchoのWO
09-27 119
Tested XSS the other day manually due to time constraint, using some xss cheat sheet from web. Found Google's tool Ratproxy then, played with it and write some notes about that. Env: Ubuntu 1. I...
ratproxy
codingkid的专栏
05-26 541
install: openssl libssl-dev   wget ratproxy tar -zxvf
使用Content-Security-Policy防止XSS攻击:指南与实践
本文将介绍如何使用Content-Security-Policy(CSP)来加强网站安全性,防止XSS攻击。CSP是一种策略,它允许开发者指定浏览器仅从特定来源加载和执行资源,以此来对抗跨站脚本攻击。通过定义白名单,CSP有效地阻止了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值