本文简单的介绍Xenotix_XSS框架常用的xss测试自动测试工具,可以用于对页面进行自动安全扫描。
配置服务器:
点击“setting—>configure server—>start”,服务器就配置完成。
扫描测试
scanner里面的”get request manualmode”是手动测试,即每次点击start的时候,只会执行一个payload,而”get request auto mode”是自动测试,设置时间间隔,就可以自动扫描。每次扫描的结果会在下面的三个浏览器中显示结果。
URL填写要测试的页面,parmeter填写”参数=”,测试时完整的URL可以在Browse处看到。
手动测试:
自动测试:
自动模式,在Inteval中设置时间间隔,然后点击start开始测试,可以点击pause暂停
多参数测试multiple parameter scanner:
点击”get parameters”会自动识别出URL中的多个参数,设置时间间隔后,点击start会逐个对每次参数进行测试。
URL fuzzer:
将需要fuzz的参数值修改为” [X]”,然后工具会对设置了[X]的参数进行测试
POST request scanner:
URL填写要测试的页面
Parameters填写POST的参数,参数值用[X]代替,response会在页面和postresponse body里面显示。
request repeater:
repeater里面支持get、post和trace方法,同样的,将HOST填写地址,path填写路径,参数值用[X]代替,start开始扫描
DOM SCAN:
个人写了几个DOM脚本,结果都没扫描到。。。没法截图了
隐藏表单检测:hidden parameter detector
很明显,就是检测html中的隐藏表单。
在tool下面的encode/decode工具也是比较常用的,不过编码不是太多:
