OWASP Xenotix XSS Exploit Framework是一個(gè)高效的跨站腳本漏洞（XSS）檢測(cè)和攻擊測(cè)試框架。它通過特有的三大瀏覽器引擎（包括Trident, WebKit和Gecko）進(jìn)行安全掃描檢測(cè)，并且其號(hào)稱擁有全世界第二大的XSS測(cè)試Payload，同時(shí)具有WAF繞過能力。

掃描模塊

Manual Mode Scanner

Auto Mode Scanner

DOM Scanner

Multiple Parameter Scanner

POST Request Scanner

Header Scanner

Fuzzer

Hidden Parameter Detector

信息采集模塊

Victim Fingerprinting

Browser Fingerprinting

Browser Features Detector

Ping Scan

Port Scan

Internal Network Scan

攻擊測(cè)試模塊

Send Message

Cookie Thief

Phisher

Tabnabbing

Keylogger

HTML5 DDoSer

Executable Drive By

JavaScript Shell

Reverse HTTP WebShell

Drive-By Reverse Shell

Metasploit Browser Exploit

Firefox Reverse Shell Addon (Persistent)

Firefox Session Stealer Addon (Persistent)

Firefox Keylogger Addon (Persistent)

Firefox DDoSer Addon (Persistent)

Firefox Linux Credential File Stealer Addon (Persistent)

Firefox Download and Execute Addon (Persistent)

附加工具

WebKit Developer Tools

Payload Encoder

下載地址

https://www.owasp.org/index.php?title=OWASP_Xenotix_XSS_Exploit_Framework&setlang=es

?

二：使用Xenotix_XSS框架進(jìn)行自動(dòng)化安全測(cè)試

?

配置服務(wù)器：

點(diǎn)擊"setting—>configure server—>start"，服務(wù)器就配置完成。

掃描測(cè)試

scanner里面的"get request manualmode"是手動(dòng)測(cè)試，即每次點(diǎn)擊start的時(shí)候，只會(huì)執(zhí)行一個(gè)payload，而"get request auto mode"是自動(dòng)測(cè)試，設(shè)置時(shí)間間隔，就可以自動(dòng)掃描。每次掃描的結(jié)果會(huì)在下面的三個(gè)瀏覽器中顯示結(jié)果。

URL填寫要測(cè)試的頁(yè)面，parmeter填寫"參數(shù)=",測(cè)試時(shí)完整的URL可以在Browse處看到。

手動(dòng)測(cè)試：

?

自動(dòng)測(cè)試：

自動(dòng)模式，在Inteval中設(shè)置時(shí)間間隔，然后點(diǎn)擊start開始測(cè)試，可以點(diǎn)擊pause暫停

? ?

多參數(shù)測(cè)試multiple parameter scanner：

點(diǎn)擊"get parameters"會(huì)自動(dòng)識(shí)別出URL中的多個(gè)參數(shù)，設(shè)置時(shí)間間隔后，點(diǎn)擊start會(huì)逐個(gè)對(duì)每次參數(shù)進(jìn)行測(cè)試。

URL fuzzer：

將需要fuzz的參數(shù)值修改為" [X]",然后工具會(huì)對(duì)設(shè)置了[X]的參數(shù)進(jìn)行測(cè)試

POST request scanner：

URL填寫要測(cè)試的頁(yè)面

Parameters填寫POST的參數(shù)，參數(shù)值用[X]代替，response會(huì)在頁(yè)面和postresponse body里面顯示。

request repeater：

repeater里面支持get、post和trace方法，同樣的，將HOST填寫地址，path填寫路徑，參數(shù)值用[X]代替，start開始掃描

DOM SCAN：

個(gè)人寫了幾個(gè)DOM腳本，結(jié)果都沒掃描到。。。沒法截圖了

? ?

隱藏表單檢測(cè)：hidden parameter detector

很明顯，就是檢測(cè)html中的隱藏表單。

在tool下面的encode/decode工具也是比較常用的,不過編碼不是太多:

?

轉(zhuǎn)載于:https://www.cnblogs.com/h4ck0ne/p/5154682.html

總結(jié)

以上是生活随笔為你收集整理的OWASP出品：Xenotix XSS漏洞测试框架及简单使用的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。