OWASP Xenotix XSS Exploit Framework是一个高效的跨站脚本漏洞(XSS)检测和攻击测试框架。它通过特有的三大浏览器引擎(包括Trident, WebKit和Gecko)进行安全扫描检测,并且其号称拥有全世界第二大的XSS测试Payload,同时具有WAF绕过能力。
扫描模块
Manual Mode Scanner
Auto Mode Scanner
DOM Scanner
Multiple Parameter Scanner
POST Request Scanner
Header Scanner
Fuzzer
Hidden Parameter Detector
信息采集模块
Victim Fingerprinting
Browser Fingerprinting
Browser Features Detector
Ping Scan
Port Scan
Internal Network Scan
攻击测试模块
Send Message
Cookie Thief
Phisher
Tabnabbing
Keylogger
HTML5 DDoSer
Executable Drive By
JavaScript Shell
Reverse HTTP WebShell
Drive-By Reverse Shell
Metasploit Browser Exploit
Firefox Reverse Shell Addon (Persistent)
Firefox Session Stealer Addon (Persistent)
Firefox Keylogger Addon (Persistent)
Firefox DDoSer Addon (Persistent)
Firefox Linux Credential File Stealer Addon (Persistent)
Firefox Download and Execute Addon (Persistent)
附加工具
WebKit Developer Tools
Payload Encoder
下载地址
https://www.owasp.org/index.php?title=OWASP_Xenotix_XSS_Exploit_Framework&setlang=es
二:使用Xenotix_XSS框架进行自动化安全测试
配置服务器:
点击"setting—>configure server—>start",服务器就配置完成。
扫描测试
scanner里面的"get request manualmode"是手动测试,即每次点击start的时候,只会执行一个payload,而"get request auto mode"是自动测试,设置时间间隔,就可以自动扫描。每次扫描的结果会在下面的三个浏览器中显示结果。
URL填写要测试的页面,parmeter填写"参数=",测试时完整的URL可以在Browse处看到。
手动测试:
自动测试:
自动模式,在Inteval中设置时间间隔,然后点击start开始测试,可以点击pause暂停
多参数测试multiple parameter scanner:
点击"get parameters"会自动识别出URL中的多个参数,设置时间间隔后,点击start会逐个对每次参数进行测试。
URL fuzzer:
将需要fuzz的参数值修改为" [X]",然后工具会对设置了[X]的参数进行测试
POST request scanner:
URL填写要测试的页面
Parameters填写POST的参数,参数值用[X]代替,response会在页面和postresponse body里面显示。
request repeater:
repeater里面支持get、post和trace方法,同样的,将HOST填写地址,path填写路径,参数值用[X]代替,start开始扫描
DOM SCAN:
个人写了几个DOM脚本,结果都没扫描到。。。没法截图了
隐藏表单检测:hidden parameter detector
很明显,就是检测html中的隐藏表单。
在tool下面的encode/decode工具也是比较常用的,不过编码不是太多:
