用于测试XSS和其他网站漏洞的软件

Question

我的一个站点将提交漏洞测试，不确定公司是否手动进行此测试。

我想知道我是否能找到任何软件，其中我指定了在我的网站中使用的所有变量名称，并自动尝试输入代码、脚本和其他东西在我的表单和页面中，以查看是否有任何漏洞打开。

我不信任在线服务，所以我真的更喜欢在本地机器上做些什么，这也让我可以先在本地环境上进行测试。

Answer 1

下面是一些支持XSS扫描的开源Web应用程序漏洞扫描器：

• X5S

x5s是一个费德勒插件，旨在帮助渗透测试人员查找跨站点脚本漏洞。这不是一个点和拍摄工具，它需要一些理解编码问题如何导致XSS，它需要手动驾驶。

文档：https://xss.codeplex.com/wikipage?title=Tutorial&referringTitle=Home

下载X5S：https://xss.codeplex.com/releases/view/43170

• 抓地者：

Grabber是一个web应用程序扫描仪。基本上，它可以检测到网站中的一些漏洞。抓地器是简单的，不是快速，但便携式和真正的适应性。这个软件是专为扫描小网站，如个人，论坛等绝对不是大的应用:它将花费太长的时间和淹没您的网络。

在这里下载：http://rgaucher.info/beta/grabber/

Github的源代码：https://github.com/neuroo/grabber

• 维加：

Vega是一个免费的、开源的web安全扫描器和web安全测试平台，用于测试web应用程序的安全性。Vega可以帮助您查找和验证SQL注入、跨站点脚本(XSS)、无意中泄露的敏感信息和其他漏洞。它是用Java编写的，基于GUI，运行在Linux、OS和Windows上。

文档：https://subgraph.com/vega/documentation/index.en.html

下载Vega：https://subgraph.com/vega/

• ZAP：

Zed攻击代理(ZAP)是世界上最流行的免费安全工具之一，由数百名国际志愿者积极维护。它可以帮助您在开发和测试应用程序时自动发现web应用程序中的安全漏洞。它也是一个很好的工具，经验丰富的戊酯用于手动安全测试。

文档：https://www.owasp.org/index.php/OWASP_泽德_攻打_代理_项目

下载ZAP：https://github.com/zaproxy/zaproxy

• 马鹿

马鹿允许您审计您的web应用程序的安全性。它执行“黑匣子”扫描，即它不研究应用程序的源代码，而是扫描已部署的webapp的网页，寻找可以注入数据的脚本和表单。一旦它得到了这个列表，马鹿就像一个模糊，注入有效载荷，看看一个脚本是否易受攻击。

文档：http://wapiti.sourceforge.net/

下载马鹿：https://sourceforge.net/projects/wapiti/files/

- W3af:

w3af是一个Web应用程序攻击和审计框架。该项目的目标是创建一个框架，通过查找和利用所有web应用程序漏洞来帮助您保护web应用程序。

文档：http://w3af.org/

下载W3af：https://github.com/andresriancho/w3af/

- WebScarab:

WebScarab是一个分析使用HTTPS协议进行通信的应用程序的框架。它是用Java编写的，因此可以移植到许多平台上。WebScarab有几种操作模式，由多个插件实现。在其最常用的用法中，WebScarab充当拦截代理，允许操作员在将请求发送到服务器之前检查和修改浏览器创建的请求，并在浏览器接收到请求之前检查和修改从服务器返回的响应。WebScarab能够拦截HTTP和HTTPS通信。操作员还可以查看通过WebScarab进行的会话(请求和响应)。

文档：https://www.owasp.org/index.php/Category:OWASP_WebScarab_项目下载WebScarab：https://github.com/OWASP/OWASP-WebScarab XSS插件：https://www.owasp.org/index.php/Webscarab_XSS-CRLF_插件

祝你好运！

Answer 2

检查XSSer：

https://xsser.03c8.net/

它是一个自动框架，用于检测、利用和报告基于web的应用程序中的XSS漏洞。